МЕЖДУНАРОДНЫЙ СТАНДАРТ iso/iec 17799:2005delta-f.narod.ru/17799.pdf ·...
TRANSCRIPT
МЕЖДУНАРОДНЫЙ СТАНДАРТ
ISO/IEC 17799:2005
Вторая редакция 15.06.2005 г.
Информационная технология — Методы защиты — Практическое руководство для менеджмента
информационной безопасности
Technologies de l'information — Techniques de security — Code de pratique pour la gestion de security d'information
Номер для ссылок ISO/IEC 17799:2005(E) ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
СОДЕРЖАНИЕ
Предисловие...............................................................................................................................................7 0 Введение..................................................................................................................................................8 0.1 Что такое информационная безопасность?......................................................................................8 0.2 Почему необходима информационная безопасность? ....................................................................8 0.3 Как устанавливать требования защиты ............................................................................................9 0.4 Определение угроз безопасности .....................................................................................................9 0.5 Выбор средств защиты......................................................................................................................9 0.6 Основы информационной безопасности.........................................................................................10 0.7 Критические факторы успеха ..........................................................................................................10 0.8 Разработка ваших собственных рекомендаций.............................................................................. 11 Информационная технология — Методы защиты —Практическое руководство для менеджмента информационной безопасности.............................................................................................................12 1 Область применения ..........................................................................................................................12 2 Термины и определения....................................................................................................................12 2.1 Актив (asset).................................................................................................................................12 2.2 Управление (control) .....................................................................................................................12 2.3 Руководство (guideline).................................................................................................................12 2.4 Средства обработки информации (information processing facilities) ...........................................13 2.5 Информационная безопасность (information security).................................................................13 2.6 Событие информационной безопасности (information security event) ........................................13 2.7 Инцидент защиты информации (information security incident).....................................................13 2.8 Политика (policy).........................................................................................................................13 2.9 Риск (risk) ..................................................................................................................................... 13 2.10 Анализ риска (risk analysis).........................................................................................................13 2.11 Оценка риска (risk assessment)...................................................................................................13 2.12 Вычисление риска (risk evaluation).............................................................................................14 2.13 Управление риском (risk management) ...................................................................................... 14 2.14 Обработка риска (risk treatment).................................................................................................14 2.15 Третья сторона (third party) ........................................................................................................14 2.16 Угроза (threat).............................................................................................................................14 2.17 Уязвимость (vulnerability)............................................................................................................14 3. Структура этого стандарта ................................................................................................................ 15 3.1 Оговорка.......................................................................................................................................15 3.2 Основные категории защиты........................................................................................................15 4 Обработка и оценка рисков ............................................................................................................... 17 4.1 Оценка угроз безопасности..........................................................................................................17 4.2 Обработка угроз безопасности.....................................................................................................17 5 Политика безопасности ...................................................................................................................... 19 5.1 Политика информационной безопасности...................................................................................19 5.1.1 Документ политики информационной безопасности ................................................................ 19 5.1.2 Пересмотр политики информационной безопасности..............................................................20 6 Организация информационной безопасности ...................................................................................21 6.1 Внутренняя организация .............................................................................................................. 21 6.1.1 Обязательства руководства учреждения к информационной безопасности ..........................21 6.1.2 Координация в области информационной безопасности.........................................................22 6.1.3 Распределение обязанностей, связанных с информационной безопасностью...................... 22 6.1.4 Процесс авторизации средств обработки информации ...........................................................23 6.1.5 Соглашения конфиденциальности............................................................................................23 6.1.6 Контакты с лицами, принимающими решение..........................................................................24 6.1.7 Контакт с группами пользователей с особой целью ................................................................ 25 6.1.8 Независимый пересмотр информационной безопасности....................................................... 25 6.2 Внешние стороны .........................................................................................................................26 ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
6.2.1 Идентификация рисков, связанных со внешними сторонами..................................................26 6.2.2. Выбор защиты, при работе с клиентами..................................................................................27 6.2.3. Выбор средств защиты в соглашениях с третьей стороной ...................................................28 7 Управление активами .........................................................................................................................31 7.1 Ответственность за активы ..........................................................................................................31 7.1.1 Инвентаризация активов ...........................................................................................................31 7.1.2 Монопольное использование активами....................................................................................32 7.1.3 Приемлемое использование активов........................................................................................ 32 7.2 Классификация информации ....................................................................................................... 33 7.2.1 Рекомендации по классификации.............................................................................................33 7.2.2 Маркирование и обработка информации..................................................................................34 8 . Безопасность человеческих ресурсов..............................................................................................35 8.1 Приоритет занятости ....................................................................................................................35 8.1.1 Роли и обязанности ...................................................................................................................35 8.1.2 Отбраковка................................................................................................................................35 8.1.3 Сроки и условия занятости........................................................................................................36 8.2 В течение периода занятости....................................................................................................... 37 8.2.1 Обязанности администрации ....................................................................................................37 8.2.2 Понимание требований по защите информации, обучение и тренировки............................... 38 8.2.3 Дисциплинарный процесс..........................................................................................................38 8.3 Завершение или изменение занятости........................................................................................ 39 8.3.1 Завершение обязанностей ........................................................................................................39 8.3.2 Возвращение активов................................................................................................................ 40 8.3.3 Изменение прав доступа ...........................................................................................................40 9 Физическая безопасность и безопасность среды.............................................................................. 42 9.1 Зоны безопасности ....................................................................................................................... 42 9.1.1 Физическая линия охраны.........................................................................................................42 9.1.2 Средства контроля физического доступа.................................................................................43 9.1.3 Безопасность офисов, занимаемых помещений и средств обслуживания.............................43 9.1.4 Защита против внешних и угроз окружающей среды............................................................... 44 9.1.5 Работа в защищаемых зонах ....................................................................................................44 9.1.6 Открытый доступ, доставка и погрузочные зоны...................................................................... 45 9.2 Защита оборудования ..................................................................................................................45 9.2.1 Расположение оборудования и его защита.............................................................................. 45 9.2.2 Вспомогательные коммунальные службы................................................................................ 46 9.2.3 Защита кабельной инфраструктуры .........................................................................................47 9.2.4 Техническое обслуживание....................................................................................................... 47 9.2.5 Защита оборудования вне помещений учреждения ................................................................ 48 10 Система связи и администрирование действий .............................................................................. 50 10.1 Порядок действий и обязанности............................................................................................... 50 10.1.1 Документирование эксплуатации техники............................................................................... 50 10.1.2 Управление изменениями ....................................................................................................... 50 10.1.3 Разделение обязанностей....................................................................................................... 51 10.1.4 Разделение разработки и испытания рабочих средств..........................................................52 10.2 Администрирование службы доставки третьей стороны ..........................................................52 10.2.1 Сервисная доставка.................................................................................................................52 10.2.2 Мониторинг и обзор служб третьей стороны ..........................................................................53 10.2.3 Управление изменениями сервиса, представленного третей стороной................................ 54 10.3 Планирование и приемка систем ............................................................................................... 54 10.3.1 Управление производительностью.........................................................................................54 10.3.2 Принятие систем...................................................................................................................... 55 10.4 Защита от вредоносного и мобильного кода.............................................................................55 10.4.1 Контроль вредоносного кода...................................................................................................56 10.4.2 Контроль мобильного кода...................................................................................................... 57 10.5 Резервное копирование.............................................................................................................. 57 10.5.1 Резервное копирование информации .....................................................................................57 10.6 Управление безопасностью сети ............................................................................................... 58 10.6.1 Сетевой контроль ....................................................................................................................58 ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
10.6.2 Безопасность сетевых служб ..................................................................................................59 10.7 Обработка носителей .................................................................................................................60 10.7.1 Управление сменными носителями........................................................................................ 60 10.7.2 Уничтожение носителей информации.....................................................................................60 10.7.3 Процедуры обработки информации........................................................................................ 61 10.7.4 Безопасность системной документации .................................................................................62 10.8 Обмен информацией..................................................................................................................62 10.8.1 Политика обмена информацией и ее процедуры...................................................................62 10.8.2 Соглашения по обмену информацией ....................................................................................64 10.8.3 Физические средства хранения информации при перемещении...........................................64 10.8.4 Передача электронных сообщений.........................................................................................65 10.8.5 Системы коммерческой информации .....................................................................................65 10.9 Электронные услуги торговли....................................................................................................66 10.9.1 Электронная торговля .............................................................................................................66 10.9.2 Транзакции в режиме реального времени .............................................................................. 67 10.9.3 Публично доступная информация ..........................................................................................68 10.10 Мониторинг............................................................................................................................... 69 10.10.1 Журналы аудита ....................................................................................................................69 10.10.2 Использование системы мониторинга ..................................................................................70 10.10.3 Защита информации журналов.............................................................................................71 10.10.4 Журналы администратора и оператора................................................................................ 71 10.10.5 Журналы неисправностей .....................................................................................................72 10.10.6 Синхронизация системных часов..........................................................................................72 11 Контроль доступа.............................................................................................................................74 11.1 Требования бизнеса для контроля доступа .............................................................................. 74 11.1.1 Политика контроля доступа.....................................................................................................74 11.2 Администрирование доступа пользователя .............................................................................. 75 11.2.1 Регистрация пользователя...................................................................................................... 75 11.2.2 Управление привилегиями ...................................................................................................... 76 11.2.3 Управление паролями пользователя...................................................................................... 76 11.2.4 Обзор пользовательских прав доступа...................................................................................77 11.3 Обязанности пользователя........................................................................................................77 11.3.1 Использование пароля............................................................................................................78 11.3.2 Автоматическое оборудование пользователя........................................................................79 11.3.3 Политика чистого стола и очистки экрана............................................................................... 79 11.4.1 Политика использования сетевых служб................................................................................ 80 11.4.2 Аутентификация пользователя для внешних соединений.....................................................81 11.4.3 Идентификация оборудования в сети.....................................................................................82 11.4.4 Дистанционная диагностика и конфигурационная защита порта...........................................82 11.4.5 Разделение в сетях .................................................................................................................82 11.4.6 Управление сетевыми подключениями ..................................................................................83 11.4.7 Управление сетевой маршрутизацией....................................................................................84 11.5 Контроль доступа к операционной системе............................................................................... 84 11.5.1 Безопасные процедуры вхождения в систему........................................................................85 11.5.2 Идентификация и аутентификация пользователя..................................................................85 11.5.3 Система управления паролями............................................................................................... 86 11.5.4 Использование системных утилит ..........................................................................................87 11.5.5 Блокировка сеанса по времени ............................................................................................... 87 11.5.6 Ограничение на время соединения.........................................................................................88 11.6 Прикладное и информационное управление доступом ............................................................88 11.6.1 Ограничение доступа к информации ...................................................................................... 89 11.6.2 Изоляция чувствительных систем ..........................................................................................89 11.7 Мобильная вычислительная техника и дистанционная работа ............................................... 90 11.7.1 Вычисления на мобильных средствах и связь....................................................................... 90 11.7.2 Дистанционная работа.............................................................................................................91 12. Приобретение, развитие и техническое обслуживание информационных систем........................ 93 12.1 Требования безопасности информационных систем................................................................ 93 12.1.1 Анализ требований безопасности и спецификация................................................................ 93 ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
12.2 Корректная обработка в приложениях ....................................................................................... 94 12.2.1 Проверка правильности входных данных............................................................................... 94 12.2.2 Управление внутренней обработкой....................................................................................... 95 12.2.3 Целостность сообщения..........................................................................................................96 12.2.4 Проверка правильности выходных данных ............................................................................96 12.3 Управление криптографическими средствами..........................................................................96 12.3.1 Политика по использованию управления криптографическими средствами ........................ 97 12.4 Безопасность системных файлов ..............................................................................................99 12.4.1 Управление операционным программным обеспечением .....................................................99 12.4.2 Защита системных испытуемых данных............................................................................... 100 12.4.3 Контроль доступа к исходному программному коду............................................................. 101 12.5 Безопасность разработки и процессов сопровождения .......................................................... 102 12.5.1 Управление процедурами изменений................................................................................... 102 12.5.2 Техническая проверка приложений после изменений операционной системы................... 103 12.5.3 Ограничения на изменения пакетов программ..................................................................... 103 12.5.4 Утечка информации............................................................................................................... 104 12.5.5 Разработка программного обеспечения третей стороной.................................................... 104 12.6 Техническое управление уязвимостями.................................................................................. 105 12.6.1 Контроль над техническими уязвимостями .......................................................................... 105 13 Управление инцидентами информационной безопасности .......................................................... 107 13.1 Сообщение об инциденте информационной безопасности и уязвимостях............................ 107 13.1.1 Сообщение о происшествиях информационной безопасности ........................................... 107 13.1.2 Сообщение об уязвимостях безопасности ........................................................................... 108 13.2 Управление информационными инцидентами безопасности и развитием ............................ 109 13.2.1 Обязанности и процедуры..................................................................................................... 109 13.2.2 Изучение инцидентов информационной безопасности........................................................ 110 13.2.3 Сбор доказательств............................................................................................................... 110 14 Управление непрерывностью бизнеса........................................................................................... 112 14.1 Информационные аспекты безопасности управления непрерывностью бизнеса ................. 112 14.1.1 Включение информационной безопасности в процесс обеспечения непрерывности бизнеса ......................................................................................................................................................... 112 14.1.2 Непрерывность бизнеса и оценка риска ............................................................................... 113 14.1.3 Разработка и реализация планов непрерывности, включая информационную безопасность ......................................................................................................................................................... 113 14.1.4 Структура планирования непрерывности бизнеса ............................................................... 114 14.1.5 Тестирование, поддержка и переоценка планов обеспечения непрерывности бизнеса .... 115 15 Соответствие.................................................................................................................................. 117 15.1 Соответствие требованиям законодательства........................................................................ 117 15.1.1 Идентификация применяемого законодательства ............................................................... 117 15.1.2 Права интеллектуальной собственности.............................................................................. 117 15.1.3 Защита документов учреждения ........................................................................................... 118 15.1.4 Защита данных и сохранение тайны персональных данных............................................... 120 15.1.5 Предотвращение неправильного употребления средств обработки информации ............. 120 15.1.6 Регулирование управления криптографическими средствами............................................ 121 15.2 Соответствие политике безопасности, стандартам и техническим условиям........................ 121 15.2.1 Соответствие политике безопасности и стандартам............................................................ 122 15.2.2 Проверки соответствия техническим условиям.................................................................... 122 15.3 Рассмотрение аудита информационных систем..................................................................... 123 15.3.1 Средства управления аудитом информационной системы ................................................. 123 15.3.2 Защита инструментальных средств аудита систем ............................................................. 123 ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Предисловие
Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (IEC) образуют специализированную систему международной стандартизации. Государственные организации, являющиеся членами ISO или IEC, участвуют в разработке международных стандартов посредством технических комитетов, созданных соответствующими организациями для работы в определенных технических областях. Международные технические комитеты ISO и IEC сотрудничают в областях, представляющих интерес для обеих организаций. Кроме того, совместно с ISO и IEC в работе участвуют другие государственные и негосударственные международные организации. Подготовка международных стандартов ведется согласно правилам, изложенным во второй части Директив ISO/IEC. Организациями ISO и IEC создан объединенный технический комитет (JTC) ISO/IEC 1/SС 27 в области Information Security Management System (сокращённо - ISMS или бук. перевод – управления системой информационной безопасностью). Разработанные варианты международных стандартов, принятые объединенным техническим комитетом, передаются организациям-участникам для утверждения. Для принятия стандарта в качестве международного необходимо одобрение не менее 75% национальных органов, участвующих в голосовании. Необходимо обратить внимание на то, что некоторые элементы данного международного стандарта могут попадать под действие патентных прав. Организации ISO и IEC не должны нести ответственности за определение каких-либо из этих патентных прав. Международный стандарт ISO/IEC 17799 был принят совместным техническим Комитетом ISO/IEC JTC 1, Информационных технологий, Подкомиссией технологий защиты SC 27. Этот стандарт отменяет и заменяет первое издание (ISO/IEC 17799:2000), который был технически переработан. Семейство международных стандартов управления информационной безопасностью разрабатываются в рамках ISO/IEC JTC 1/SC 27. Эти стандарты включают международные эталоны в требованиях безопасности информационных систем: управление рисками, метрики, измерение и руководствапо выполнению. Это семейство стандартов принимает схему нумерации, используя числовой ряд 27000 и выше. С 2007 года предложено включить новое издание стандарта ISO/IEC 17799 в новую схему нумерации, как ISO/IEC 27002. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
0 Введение 0.1 Что такое информационная безопасность? Информация – это активы, которые, как и другие важные деловые активы, имеет определенную ценность для учреждения и, следовательно, нуждается в соответствующей защите. Это особенно важно в условиях бизнеса. Информационная безопасность предполагает защиту информации от разнообразных угроз для поддержки непрерывности бизнеса, сокращения убытков, увеличения прибылей на инвестированный капитал и расширения возможностей бизнеса. Информация может существовать в самых разных формах. Она может быть напечатана или написана на бумаге, сохранена на электронных носителях, передана по традиционной или электронной почте, показана на плёнке или передана в устной беседе. Какую бы форму ни принимала информация, какие бы средства не использовались для ее передачи и хранения, необходимо всегда обеспечивать соответствующий уровень ее защиты. Информационная защита – защита информации от широкого диапазона угроз, чтобы гарантировать непрерывность бизнеса, снижать риски бизнеса и максимизировать возврат инвестиций. Информационная безопасность достигается путем внедрения совокупности необходимых средств защиты, в число которых могут входить политики, процессы, процедуры, рекомендации, инструкции, организационные структуры и функции программного обеспечения и оборудования. Эти средства необходимо реализовать для того, чтобы гарантировать выполнение требований к безопасности в конкретной организации. Всё это должно быть сделано в сочетании с другими процессами управления. 0.2 Почему необходима информационная безопасность? Информация и поддерживающие её процессы, системы и сети - важные бизнес активы. Конфиденциальность, целостность и доступность информации могут быть существенными аспектами для поддержания конкурентоспособности, денежного оборота, доходности, юридической гибкости и коммерческого имиджа. Информационные системы и сети организаций сталкиваются с угрозами защиты широкого диапазона источников, включая компьютерное мошенничество, шпионаж, саботаж, вандализм, пожар или наводнение. Причины ущерба типа вредоносного кода, взлома компьютера и нападений типа отказа в обслуживании стали более обыденными, более честолюбивыми и все более и более искушенными. Информационная защита важна для обоих секторов государственных и частных предпринимателей и защищает критические инфраструктуры. В обоих секторах необходимо включать функционирование информационной безопасности, например, для доступа к электронному правительству или электронной коммерции и при этом избегать рисков или их уменьшать до уместного значения. Взаимосвязь общественных, частных сетей и информационных ресурсов общего пользования увеличивает трудность достижения управления доступом. Тенденция к распределенным вычислениям ослабляет эффективность централизованного управления, осуществляемого специалистом. Многие информационные системы не проектировались как безопасные. Безопасность, которая может быть достигнута через технические средства, является ограниченной, и ее следует поддерживать соответствующим управлением и процедурами. Идентификация необходимых средств управления требует тщательного планирования и внимания к детализации. Контроль информационной безопасностью нуждается, как минимум, в участии всех служащих учреждения. Оно может также требовать участия акционеров, поставщиков, третьих лиц, клиентов или других сторон. Могут также потребоваться консультации специалистов сторонних организаций. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
0.3 Как устанавливать требования защиты Важно чтобы учреждение идентифицировало свои требования безопасности. Существуют три основных источника определения требований. 1. Один источник получен из оценки рисков учреждения, принимая во внимание полной бизнес стратегии и цели учреждения. Через оценки рисков идентифицируются угрозы активам, оценивается их уязвимость и вероятность возникновения угроз, а также возможное разрушительное воздействие. 2. Вторым источником являются требования, такие как юридические, законодательные, регулирующие и договорные, которые оценивались для того, чтобы организация, ее торговые партнеры, подрядчики и поставщики услуг удовлетворяли друг другу. 3. Третьим источником является специфическое множество принципов, целей и требований к обработке информации, которые разработало учреждение, для поддержки своих действий. 0.4 Определение угроз безопасности Требования защиты идентифицированы систематической оценкой угроз безопасности. Расход на средства безопасности должен быть противовесом ущербу бизнесу от отказа системы безопасности. Результаты оценки риска помогут направлять и устанавливать соответствующие действия руководства учреждения и приоритеты для основных угроз информационных безопасности и для осуществления управления, выбранного, чтобы защититься от этих рисков. Оценка риска должна повторяться периодически, чтобы учесть любые изменения, которые могли бы влиять на исходы оценки риска. Подробная информация относительно оценки угроз безопасности может быть найдена в разделе 4.1 “ Определение угроз безопасности ”. 0.5 Выбор средств защиты После определения требований к безопасности необходимо выбрать и внедрить средства, которые помогут снизить риск до приемлемого уровня. Применять можно средства, описанные в данном документе и в других источниках; кроме того, при необходимости можно разработать новые средства, отвечающие конкретным целям. Существует множество различных способов управления рисками. В данном документе приведены примеры распространенных подходов. Однако следует помнить, что некоторые средства не подходят для всех информационных систем и сред и могут оказаться неприменимыми или непрактичными в некоторых учреждениях. В небольших организациях разделение всех полномочий может оказаться невозможным и для реализации той же цели придется применить другие средства. Описанные методы (например, ведение журнала событий) могут противоречить действующему законодательству – например, правилам обеспечения неприкосновенности частной информации клиентов или рабочих мест. Необходимо выбирать средства с учетом затрат на реализацию в отношении к уменьшаемым рискам и потенциальным убыткам при нарушении безопасности. Кроме того, следует учитывать такие нефинансовые факторы, как потеря репутации. Некоторые методы, описанные в данном документе, могут считаться основополагающими для управления информационной безопасностью. Они подойдут для большинства организаций. Эти методы более подробно описаны ниже в разделе «Основа информационной безопасности». Подробная информация относительно выбора средств защиты и других параметров обработки риска может быть найдена в разделе 4.2 "Обработка угроз безопасности ". ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
0.6 Основы информационной безопасности Существуют методы, которые можно считать основополагающими, позволяющие создать надежную основу для реализации информационной безопасности. Эти методы либо основаны на важных законодательных требованиях либо относятся к общепризнанным методам работы в области информационной безопасности. С законодательной точки зрения важнейшими для организации считаются следующие меры: a) защита данных и неразглашение личной информации (см. раздел 15.1.4); b) защита документов учреждения (см. раздел 15.1.3); c) защита прав интеллектуальной собственности (см. раздел 15.1.2). К общепризнанным методам обеспечения информационной безопасности относятся следующие: a) создание документа, определяющего политику информационной безопасности (см. раздел 5.1.1); b) распределение ответственности за информационную безопасность (см. раздел 6.1.3); c) понимание защиты информации, обучение и подготовка в области информационной безопасности (см. раздел 8.2.2); d) правильная обработка в приложениях (см. 12.2); e) управление уязвимостями (см. 12.6); f) управление непрерывностью бизнеса (см. 14); g) управление информационными инцидентами и развитием (см. 13.2). Эти методы могут применяться в большинстве учреждений и в большинстве сред. Заметим, что, несмотря на то, что все описанные в данном документе методы являются важными, значимость каждого метода следует определять в свете конкретных рисков с которыми сталкивается учреждение. Таким образом, хотя описанный выше подход и может послужить хорошей отправной точкой, он не заменит собой выбор средств, основанный на оценке риска. 0.7 Критические факторы успеха Опыт показывает, что перечисленные ниже факторы зачастую являются ключевыми для успешной реализации информационной безопасности в учреждении: a) политика безопасности, цели и действия, которые отражают цели бизнеса; b) подход к реализации безопасности, который согласуется с культурой организации; c) видимая поддержка и обязательства со стороны руководства всех уровней; d) правильное понимание требований безопасности, оценки риска и управления риском; e) эффективный маркетинг безопасности для всех руководителей и служащих; f) передача сведений о политике информационной безопасности и стандартах всем сотрудникам и подрядчикам; g) обеспечение необходимого обучения и тренировки; h) всесторонняя и сбалансированная система измерения, которая используется для оценки эффективности управления информационной безопасностью и предложения в рамках обратной связи, направленные на улучшение; i) установление действенного процесса управления инцидентами и защитой информации; j) выполнение измерений2 для оценки информационной системы, которые используется, чтобы оценить управление информационной безопасностью и предложения обратной связи для его усовершенствования.
2 Меры защиты информации не входят в рассмотрение этого стандарта. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
0.8 Разработка ваших собственных рекомендаций Этот кодекс установившейся практики может расцениваться как отправная точка для разработки руководств, специфичных для учреждения. Не всё управление и руководства в этом процессуальном кодексе, могут быть применимыми. Более того, могут потребоваться дополнительные средства управления, не включенные в этот документ. Если это случится, может быть полезным сохранение перекрестных ссылок, которые облегчат проверку соответствия, проводимую аудиторами и партнерами по бизнесу. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO/IEC 17799:2005(E)
Информационная технология — Методы защиты — Практическое руководство для менеджмента
информационной безопасности 1 Область применения Этот международный стандарт устанавливает рекомендации и общие принципы для инициализации, осуществления, поддержания и улучшения управления безопасностью информации в учреждении. Цели, выделенные в этом международном стандарте, обеспечивают общее руководство управления безопасностью информации на общепринятых показателях. Цели управления и контроля этого международного стандарта предназначены, чтобы выполнить и осуществить защиту информации в соответствии с идентифицированной оценкой риска. Этот международный стандарт может служить практическим руководством для того, чтобы разработать организационные стандарты защиты и эффективные действия управления защитой, а так же поддержать взаимное доверие при контактах между организациями. 2 Термины и определения В данном документе используются перечисленные ниже определения. 2.1 Актив (asset) Что - либо, что имеет ценность в учреждении [ ISO/IEC 13335-1:2004]. 2.2 Управление (control) Средства управления риском, включая политику, процедуры, рекомендации, действия или организационные структуры, которые могут иметь административный, специальный или юридический вид. ПРИМЕЧАНИЕ Управление также используется, как синоним для меры безопасности или контрмер. 2.3 Руководство (guideline) Описание, которое разъясняет то, что должно быть выполнено и как достигать целей, утвержденных в политике [ISO/IEC 13335-1:2004]. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
2.4 Средства обработки информации (information processing facilities) Любая система обработки информации, инфраструктуры обслуживания или их физическое размещение. 2.5 Информационная безопасность (information security) Охрана конфиденциальности, целостности и доступности информации; кроме того, может также быть включен другой вид значения, типа подлинности, ответственности, невозможность отказа от авторства и надежности. 2.6 Событие информационной безопасности (information security event) Событие информационной безопасности – идентифицированное событие системы, сервисное или сетевое состояние, указывающее на возможное нарушение политики информационной безопасности, неисправности системы безопасности или неизвестной ситуации, которая уместна безопасности. [ISO/IEC TR 18044:2004] 2.7 Инцидент защиты информации (information security incident) Инцидент защиты информации обозначен частью или серией нежелательных или неожиданных событий защиты информации, которые имеют существенную вероятность компрометации бизнес действий и угрозы информационной безопасности [ISO/IEC ТR 18044:2004] 2.8 Политика3 (policy) Полное намерение руководства учреждения в обеспечении и поддержке информационной безопасности. 2.9 Риск (risk) Комбинация вероятности случая и его последствия. [ISO/IEC Guide 73:2002] 2.10 Анализ риска (risk analysis) Систематическое использование информации, чтобы идентифицировать источники и оценивать риск. [ISO/IEC Guide 73:2002] 2.11 Оценка риска (risk assessment) Общий процесс анализа риска и оценки риска. [ISO/IEC Guide 73:2002]
3 В данном случае – политика информационной безопасности ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
2.12 Вычисление риска (risk evaluation) Процесс сравнения оценённого риска против данных критериев риска, чтобы установить значение риска. [ISO/IEC Guide 73:2002] 2.13 Управление риском (risk management) Скоординированные действия, чтобы направить и управлять учреждением с учетом риска ПРИМЕЧАНИЕ Управление риском обычно включает оценку риска, обработку риска, принятие риска и сообщение о риске. [ISO/IEC Guide 73:2002] 2.14 Обработка риска (risk treatment) Процесс выбора и выполнения мер, чтобы изменить риск. [ISO/IEC Guide 73:2002] 2.15 Третья сторона (third party) Лица или организация, которые являются независимыми от вовлечённых сторон в рассматриваемом вопросе. [ISO/IEC Guide 2:1996] 2.16 Угроза (threat) Потенциальная причина нежелательного инцидента, который может вредить системе или учреждению. [ISO/IEC 13335-1:2004] 2.17 Уязвимость (vulnerability) Слабость актива или группы активов, которые могут эксплуатироваться угрозой. [ISO/IEC 13335-1:2004] ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
3. Структура этого стандарта Этот стандарт содержит 11 разделов4 управления безопасностью, все вместе содержащие 39 главных видов безопасности и одного вводного положения, вводящего оценку и обработку риска. 3.1 Оговорка Каждый раздел содержит множество основных категорий безопасности. Эти одиннадцать разделов (сопровождаемых с номером основных категорий защиты, включены в пределах одной главы): a) политика безопасности(1); b) организация информационной безопасности (2); c) управление активами (2); d) безопасность человеческих ресурсов (3); e) физическая безопасность и безопасность среды (2); f) система связи и управление операциями (10); g) управление доступом (7); h) приобретение, разработка и эксплуатация информационных систем(6); i) управление инцидентами информационной безопасностью (2); j) управление непрерывностью бизнеса (1); k) соответствие (3). Примечание: Порядок положений в этом стандарте не подразумевает их градацию по важности. В зависимости от обстоятельств, все положения могут быть важны, поэтому каждое учреждение, применяющее этот стандарт должно идентифицировать соответствующие положения, насколько важными они являются и применять их в индивидуальных бизнес-процессах. Также, все перечисления в этом стандарте находятся не в приоритетном порядке, если явно не отмечено. 3.2 Основные категории защиты Каждый основной раздел категории защиты содержит: a) сформулированную цель управления, которая должна быть достигнута; b) одно или большее количество средств защиты, которые могут быть применены, чтобы достичь цели управления защитой. Описания управления структурированы следующим образом: Контроль Определяет определенную инструкцию управления, чтобы удовлетворить его цели. Руководство выполнения Обеспечивает более детальную информацию, чтобы поддержать выполнение управления и достигнуть цели управления. Часть этого руководства может не соответствовать всем случаям и поэтому может применяться более соответствующее управление.
4 Каждому разделу, перечисленному в данном пункте, посвящена отдельная глава стандарта ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Дополнительная информация Обеспечивает дополнительную информацию, которая, например, может учитываться из юридических соображений и содержать ссылки на другие стандарты. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
4 Обработка и оценка рисков 4.1 Оценка угроз безопасности Для учреждения должна проводиться оценка идентифицированных рисков, определяться их количество и необходимо их располагать по приоритетам против критериев с целью принятия приемлемого риска и целей. Результаты должны направить и устанавливать соответствующее действие руководства учреждения и приоритеты для управления угрозами информационной безопасности и для осуществления выбранного управления для защиты против этих рисков. Процесс определения рисков и выбора средства управления должен выполниться неоднократно, чтобы охватывать различные части учреждения или индивидуальные информационные системы. Оценка рисков должна включать систематический подход оценки величины рисков и процесс сравнения оценок риска против критериев риска, чтобы установить их значение. Оценка риска должна выполняться периодически, а так же при модификации условий защиты и местоположения риска, например в активах, угрозах, уязвимостях, воздействии, оценке риска и когда происходят существенные изменения. Эти оценки риска должны быть предприняты в методологии, способной к созданию сопоставимых и воспроизводимых результатов. Оценка угрозы информационной безопасности должна иметь ясно определенные возможности, чтобы быть действенной и должна включить зависимости от оценки риска в других областях. Область оценки риска может быть или для целого учреждения, части учреждения, индивидуальной информационной системы, определенных компонентов системы или службы, где это реально и полезно. Примеры методологий оценки риска обсуждены в ISO/IEC TR 13335-3 (Рекомендации для управления ИТ защитой: Методы управления ИТ защитой). 4.2 Обработка угроз безопасности Перед рассмотрением снижения риска учреждение должно разработать критерии для определения, действительно ли риски могут быть приняты. Риски могут быть приняты, либо оценены, если например, риск является низким или стоимость обработки рисков не рентабельна для учреждения. Такие решения должны быть зарегистрированы5. Для каждого идентифицированного и оценённого риска, должно быть принято решение относительно его обработки. Возможные варианты обработки риска включают: a) применение соответствующего средства защиты, чтобы снизить риски; b) сознательно и объективно воспринимаемые риски, если предусматривается, что они ясно удовлетворяют политике организации и критериям принятия рисков; c) уклонение от рисков, не позволяя действия, которые могут вызвать эти риски; d) передача связанных рисков другим сторонам, например страховым компаниям или компаниям - поставщикам. Для тех рисков, где решение обработки риска состоит в том, чтобы применить соответствующее средство защиты, это средство защиты должно быть выбрано и реализовано, чтобы соответствовать требованиям идентификационной оценке риска. Защита должна гарантировать, что риски сокращены до приемлемого уровня, принимая во внимание:
5 «Задокументированы» в формализованной политике безопасности ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
a) требования и ограничения национального и международного законодательства и правил; b) цели учреждения; c) эксплуатационные требования и ограничения; d) стоимость выполнения операции, относительно уменьшаемых рисков должны находятся в пропорции с необходимыми условиями учреждения и ограничениями; e) необходимость сбалансированности инвестиции в выполнение и операцию средства защиты против вреда, следующего из вероятной неисправности защиты. Управление может быть выбран из этого стандарта, других наборов управления или может быть разработано новое средство, чтобы выполнить определенные потребности учреждения. Необходимо различать, что некое средство управления не может быть применимо к каждой информационной системе или среде и не могло бы быть реально для всех учреждений. Например, раздел 10.1.3 описывает, как режимы работы могут быть разделены, чтобы предупредить мошенничество и ошибку. Это не может быть возможным для малых учреждений, чтобы выделить все режимы работы и другие пути достижения той же самой цели управления, которые могут быть необходимы. Так другой пример, в разделе 10.10 описывается, как может при использовании системы быть проверено и собрано доказательство. Описанное средство управления, например, регистрация события, могло бы находиться в противоречии с соответствующим законодательством, типа защиты конфиденциальности для клиентов или на рабочем месте. Управление информационной безопасностью должно рассматриваться в системах в стадии дизайна и проектироваться на этапе технического задания. Отказ от вышесказанного может привести к дополнительным затратам и менее эффективным решениям и возможно, в самом плохом случае - неспособностью достичь адекватной защиты. Должно быть учтено, что никакое множество средства защиты не может создать законченной защиты, и что должно быть реализовано дополнительное действие управления, чтобы контролировать, оценивать и улучшить эффективность средств безопасности для достижения цели учреждения. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
5 Политика безопасности 5.1 Политика информационной безопасности Цель: Обеспечивать руководство учреждения управлением и поддержкой информационной безопасности в соответствии с требованиями бизнеса и уместными законами и правилами. Управление должно устанавливать ясные положения политики в соответствии с целями бизнеса, показать поддержку информационной безопасности и обязательств по отношению к информационной безопасности посредством фиксации и поддержки политики информационной безопасности в рамках всего учреждения. 5.1.1 Документ политики информационной безопасности Контроль Необходимо, чтобы документ политики безопасности был одобрен руководством, издан и представлен соответствующим образом всем служащим. Руководство выполнения Этот документ должен выражать фиксированный подход учреждения и руководства к управлению информационной безопасностью, который будет применяться в учреждении. Документ политики информационной безопасности должен содержать инструкции относительно: a) определения информационной безопасности, ее общих целей, возможностей и сферы действия, а также важности безопасности, как механизма, обеспечивающего возможность совместного использования информации (см. Введение); b) заявлений о намерениях руководства, освещающих цели и принципы управления информационной безопасностью; c) инфраструктуры для того, чтобы регулировать цели управления и контроля, включая конструкцию риска оценки и управления рисками; d) краткое пояснение политики информационной безопасности, принципов, стандартов и требований соответствия, представляющих особую важность для организации: 1) согласование с законодательными и договорными требованиями; 2) требования к образовательной подготовке, обучению и пониманию в области безопасности; 3) поддержка непрерывности бизнеса; 4) последствия нарушений политики информационной безопасности; e) определение общих и частных обязанностей по управлению информационной безопасностью, в том числе включая сведения об инцидентах; f) ссылки на документацию, которая может дополнять описание политики, например, более подробные описания политик и инструкций для конкретных информационных систем или правила безопасности, которые должны соблюдаться пользователями. Данное описание политики необходимо распространить среди пользователей во всей организации и описание должно быть уместным, доступным и понятным предназначенному читателю. Дополнительная информация Информационная политика безопасности могла бы быть частью документа стратегической политики. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Если политика безопасности информации распространена вне организации, необходимо принять меры предосторожности, чтобы не раскрыть значимую6 информацию. Дополнительная информация может быть найдена в ISO/IEC 13335-1:2004. 5.1.2 Пересмотр политики информационной безопасности Контроль Политика информационной безопасности должна пересматриваться в запланированных интервалах времени, чтобы гарантировать ее пригодность продолжения, адекватность и эффективность, если происходят существенные изменения в информационной системе. Руководство внедрения Политика безопасности информации должна иметь владельца, который проявит ответственность за её управление, развитие, анализ и оценку. Пересмотр должен включать возможности оценки усовершенствования политики и подхода руководителей к безопасности информации в ответ на изменения: организационной среды, обстоятельств бизнеса, условий законодательной базы и технической среды. Пересмотр политики информационной безопасности должен принимать во внимание взгляды руководства организации. Должны иметься определенные процедуры пересмотра управления информационной безопасностью, включая график или период пересмотра. Входная информация для пересмотра политики информационной безопасности должна включать: a) обратную связь от заинтересованных сторон; b) результаты независимых анализов (см. 6.1.8); c) статус превентивных (профилактических) и корректирующих действий (см. 6.1.8 и 15.2.1); d) результаты предыдущих пересмотров руководства организации; e) выполнение процесса в согласованности с политикой информационной безопасности; f) изменения, которые могли затронуть подход руководства учреждения к информационной безопасностью, включающие изменения в организационной среде, обстоятельствах бизнеса, доступности ресурса, договорные, регулирующие и законодательные условия или технической инфраструктуре; g) тенденции, связанные с угрозами и уязвимостями; h) сообщения об инцидентах безопасности (см. 13.1); i) рекомендации, полученные от соответствующего руководства (см. 6.1.6). Выводы пересмотра политики информационной безопасности должны включать любые решения и действия, связанные с: a) усовершенствованием подхода учреждения к безопасности информации и ее процессам; b) изменением целей управления и средств управления; c) улучшение распределения ресурсов и/или обязанностей. Отчет пересмотра политики информационной безопасности должен быть сохранён. Должно быть получено одобрение руководства учреждения для пересмотренной политики.
6 Конфиденциальную и критично-важную ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
6 Организация информационной безопасности 6.1 Внутренняя организация Цель: Управление информационной безопасностью в пределах учреждения. В учреждении должна быть создана структура управления, чтобы инициализировать и управлять средствами информационной безопасности. Руководство учреждения должно одобрить политику информационной безопасности, назначить роли в защите, координировать и делать анализ выполнения защиты внутри учреждения. При необходимости следует создать консультационный центр по вопросам безопасности, в который можно было бы обращаться из любой части организации. Необходимо наладить контакты со специалистами в области безопасности вне компании, чтобы не отставать от развития данной отрасли, следить за стандартами и методами оценки и находить подходящие точки соприкосновения при реакции на инциденты. Следует поощрять развитие многостороннего подхода к информационной безопасности (например, сотрудничество и совместную работу руководителей, пользователей, администраторов, разработчиков приложений, аудиторов и сотрудников, ответственных за безопасность) и приобретение познаний в таких областях, как страхование и управление рисками. 6.1.1 Обязательства руководства учреждения к информационной безопасности Контроль Руководство учреждения должно активно укреплять безопасность в пределах учреждения, определяя направление, демонстрируя координацию вовлеченных сотрудников и определяя обязанности по информационной безопасности персоналу. Руководство выполнения Руководство учреждения должно: a) гарантировать, что цели информационной безопасности идентифицированы, выполняют организационные требования и интегрированы в соответствующих процессах; b) формулировать, осуществлять пересмотр и одобрять политику информационной безопасности; c) делать пересмотр эффективности выполнения политики информационной безопасности; d) обеспечить прозрачное (понятное) руководство и видимую административную поддержку для инициатив защиты; e) обеспечить ресурсы необходимые для информационной безопасности; f) утвердить назначение определённых ролей и обязанностей дляинформационной безопасности в учреждение; g) инициализировать планы и программы, чтобы поддержать понимание информационной безопасности; h) гарантировать, что внедрение системы безопасности согласовано внутри учреждения (см. 6.1.2). Руководство учреждения должно идентифицировать потребности для внутреннего или внешнего консультирования специалистов безопасности информации, анализа и координации деятельности в учреждении. В зависимости от размера учреждения, такие обязанности могли быть утверждены специализированным административным советом типа совета директоров. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Дополнительная информация Дополнительная информация содержится в ISO/IEC 13335-1:2004. 6.1.2 Координация в области информационной безопасности Контроль Действия по информационной безопасности должны быть скоординированы во всех структурах учреждения с уместными ролями и функциями. Руководство выполнения Как правило, в координацию информационной безопасности должны включаться сотрудничающие руководители разных звеньев, пользователи, администраторы, проектировщики прикладных приложений, ревизоры и персонал защиты информации, а так же специалисты, имеющие навыки в областях страхования, юридических проблем, управление кадрами и управления риском. Это сотрудничество должно: a) гарантировать, что действия в области защиты информации выполняются согласно утверждённой политике информационной безопасности; b) выделить и проанализировать несоответствия; c) одобрить методологии и процессы для защиты информации, например, оценки рисков и классификацию информационных ресурсов; d) идентифицировать существенные изменения угроз, подверженность угрозам информации и удобства средств защиты от угроз; e) оценить адекватность и координировать контроль над информационной безопасностью; f) продвигать для всех понимание, образование и обучение в области защиты информации в организации; g) оценить, полученную при мониторинге и рассмотрении информацию, инциденты в защите, представить рекомендации в действиях в ответ на идентифицированные инциденты. Если учреждение не использует отдельную перекрестно - функциональную группу, например, потому что такая группа не соответствует размеру учреждения, действия, описанные выше должны быть предприняты другим соответствующим руководящим составом или индивидуальным руководителем учреждения. 6.1.3 Распределение обязанностей, связанных с информационной безопасностью Контроль Все обязанности по информационной безопасности должны быть ясно определены. Руководство выполнения Распределение обязанностей в области защиты информации должно быть сделано в соответствии с политикой информационной безопасности (см. раздел 4). Обязанности для защиты индивидуальных активов и для того, чтобы выполнять определённые процессы должны быть однозначно идентифицированы. Эта ответственность должна быть дополнена, где необходимо, с более детальным приведением для определённых узлов и средств обработки информации. Локальные обязанности для защиты активов и для того, чтобы выполнять определённые процессы защиты, типа планирования непрерывности ведения бизнеса должны быть чётко определены. Руководители с распределёнными обязанностями могут делегировать другим лицам задачи по информационной безопасности. Однако они остаются ответственными и должны контролировать выполнение делегированных задач. Круг обязанностей, за которые руководители являются ответственными, должен быть чётко обозначен и заявлены, в особенности должны иметь место: ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
a) должны быть четко определены активы и процессы защиты, связанные с безопасностью каждой отдельно взятой системы; b) лица, ответственные за каждый актив или процесс, связанный с безопасностью должны быть зарегистрированы и обязанности каждого должны быть подробно сформулированы в соответствующем документе (см. раздел 7.1.2). c) уровни доступа должны быть четко определены и задокументированы. Дополнительная информация Во многих организациях может быть назначен руководитель службы безопасности для полной ответственности за развитие, выполнение и поддержку защиты информации. Однако, ответственность за источники финансирования и осуществление управления может оставаться за индивидуальными руководителями учреждения. Обычно должен быть назначен владелец для каждого актива, который становится ответственным за его каждодневную защиту. 6.1.4 Процесс авторизации средств обработки информации Контроль Для новых средств обработки информации должен быть определён и осуществлён процесс доступа. Руководство выполнения Необходимо принимать во внимание следующие рекомендации для процесса авторизации: a) новые средства должны иметь соответствующее одобрение от пользователей средств управления, авторизующих их цель и использование. Одобрение следует также получать от руководителя, ответственного за поддержку среды безопасности локальной информационной системы, чтобы обеспечивать уверенность в том, что все соответствующие политики безопасности и требования удовлетворены; b) аппаратные средства и программное обеспечение, где необходимо, следует проверять, чтобы обеспечивать уверенность в том, что они являются совместимыми с другими компонентами системы; c) применение личных средств обработки информации, например портативных компьютеров, домашних компьютеров или карманных устройств для работы с бизнес информацией учреждения могут вносить новую уязвимость в информационную систему, поэтому необходимое управление необходимо идентифицировать и осуществлять. 6.1.5 Соглашения конфиденциальности Контроль Должны быть идентифицированы и регулярно пересматриваться требования о конфиденциальности или соглашения о неразглашении, отражающие потребности учреждения по информационной безопасности. Руководство выполнения Конфиденциальность или неразглашение сведений должны содержать требование, о защите конфиденциальной информации, составленное в юридически согласованных терминах, чтобы защитить конфиденциальную информацию. Чтобы идентифицировать требования по конфиденциальности или неразглашение сведений, необходимо учесть следующие элементы: a) определить информация, которая будет защищена (например, конфиденциальная информация); b) ожидаемый срок действия соглашения о неразглашении, включая случаи, где конфиденциальность может быть сохранена неограниченное время; c) необходимые действия, когда соглашение завершило свой срок; d) обязанности и действия, сторон подписавших документы, чтобы избежать неуполномоченного раскрытия информации (типа «необходимость знать»); ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
e) монопольное использование информации, торговых секретов и интеллектуальной собственности и как это касается защиты конфиденциальной информации; f) разрешенное использование конфиденциальной информации и прав подписавшихся сторон по использованию информации; g) право на ревизию и контрольные действия, которые включают в себя конфиденциальную информацию; h) процесс для уведомления и сообщения о несанкционированном раскрытии или нарушений при работе с конфиденциальной информацией; i) условия для информации, которая будет возвращена или уничтожена при прекращении соглашения; j) ожидаемые действия, которые будут предприняты в случае нарушения этого соглашения. Могут быть необходимы в соглашении о неразглашении или конфиденциальности другие элементы, базирующиеся на требованиях безопасности учреждения. Конфиденциальность и соглашения о неразглашении должны исполнить все соответствующие законы и правила для юрисдикции, к которой это применяется (см. также 15.1.1). Требования о конфиденциальности и соглашения о неразглашении должны рассматриваться периодически и внепланово, когда происходят изменения, которые влияют на эти необходимые требования. Дополнительная информация Конфиденциальность и соглашения о неразглашении страхуют информацию учреждений от утечки и объясняют подписавшим сторонам санкционированный доступ к информации, их ответственность за защиту, использование и раскрытие информации. В учреждениях может иметься необходимость использования различных форм неразглашений информации или конфиденциальности в зависимости от условий. 6.1.6 Контакты с лицами, принимающими решение Контроль Должны поддерживаться соответствующие контакты с руководством, принимающим решение. Руководство выполнения Учреждения должны иметь процедуры, которые определяют: у кого и когда есть полномочия на контакт (например, с правоохранительными организациями, пожарными и органами надзора) и как идентифицированные происшествия в информационной безопасности должны быть сообщены своевременным способом, если подозревается, что законы, возможно, были нарушены. Учреждение так же могут нуждаться в привлечении третей стороны (например, провайдер Internet или оператор передачи данных), чтобы принять меры против источника нападения. Дополнительная информация, Поддержка таких контактов может быть обязательной, чтобы поддерживать: управление инцидентами безопасности (см. 13.2) или непрерывность бизнеса или планировании процессов на случай непредвиденных ситуаций (см. 14). Контакты с лицами органов надзора также полезны, чтобы предупредительно подготавливаться к наступающим изменениям в законодательных актах или инструкциях, которые должны исполняться учреждением. Контакты с другими полномочными органами включают коммунальные услуги и службы: аварийные, здравоохранения, безопасности, а так же например, пожарные органы (в связи с непрерывностью бизнеса, см. также разд. 14), телекоммуникационные провайдеры (в связи с подключением, маршрутизацией и доступностью связи), компании - поставщики воды (в связи со средствами охлаждения оборудования). ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
6.1.7 Контакт с группами пользователей с особой целью Контроль Должны поддерживаться соответствующие контакты с группами пользователей с особой целью или другими форумами специалистов защиты и профессиональными ассоциациями. Руководство выполнения Членство в группах пользователей или форумах следует рассматривать как средство для: a) улучшения осведомленности относительно лучших практических действиях до настоящего времени с уместной информацией о безопасности; b) гарантий, что понимания среды информационной безопасности является полным и законченным; c) получения раннего предупреждениеоб инцидентах, консультаций и обновлений систем безопасности, имеющих отношение к атакам и уязвимостям; d) получить доступ к советам специалиста защиты информации; e) совместно использовать и обмениваться информацией относительно новых технологий, программ(изделий), угроз или уязвимостей; f) обеспечить совпадение мнений лиц имеющих дело с инцидентами информационной безопасности (см. также 13.2.1). Дополнительная информация Может быть достигнуто соглашение о совместном использовании информации, чтобы улучшиться сотрудничество и координацию проблем безопасности. Такие соглашения должны идентифицировать требования для защиты критично-важной информации. 6.1.8 Независимый пересмотр информационной безопасности Контроль Подход учреждения к руководству информационной безопасностью и ее выполнению (то есть целей управления, политик, процессов и процедур информационной безопасности) должен быть пересмотрен в запланированном интервале времени или когда происходят существенные изменения безопасности независимо друг от друга. Руководство выполнения Независимый пересмотр должен быть инициирован руководством учреждения. Такой независимый пересмотр необходим для гарантий продолжительной пригодности, адекватности и эффективного подхода организации к управлению информационной безопасностью. Пересмотр должен включать возможности оценки усовершенствования и потребности в изменениях к подходу в защите информации, включая цели управления и политику безопасности. Такой пересмотр должен выполняться лицами, независимыми от рассматриваемой области, например подразделением внутреннего аудита, независимым менеджером или лицом третей стороны, специализирующегося на таких пересмотрах. Лица, проводящие пересмотр должны иметь соответствующие навыки и опыт. Результаты независимого пересмотра должны быть зарегистрированы и сообщены руководителю, инициализировавшему анализ. Отчёты по пересмотру должны быть сохранены. Если независимый пересмотр идентифицирует, что подход учреждения к информационной безопасности неадекватенили не совпадает с руководящими документами политики информационной безопасности (см. 5.1.1), то руководство учреждения должно обсудить корректирующие действия. Дополнительная информация ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Может также независимо быть рассмотрена область, которую пересматривают регулярно руководители учреждения (см. 15.2.1). Методы пересмотра могут включать интервью у руководителей подразделений учреждения, проверки прежних пересмотров документов политики информационной безопасности. ISO 19011:2002, руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента, может также быть полезным руководству для выполнения независимого пересмотра, включая основание и выполнение программы пересмотра. Раздел 15.3 определяет контроль, соответствующий независимому пересмотру на эксплуатируемой информационной системе и использование системных инструментальных средств аудита. 6.2 Внешние стороны Цель: Чтобы обслуживать систему информационной безопасности и средства обработки информации необходимо получить доступ к сообщениям, которые выдала система защиты или отправить внешней стороне. Защита информации учреждения не должна снижаться при введении внешних сторон для оказания услуг. Любой доступ к средствам обработки информации учреждения, обработка информации, передача информации внешним сторонам должна управляться. Везде где есть деловая потребность в работе с внешними сторонами, которые могут потребовать информацию организации, средства обработки информации или получение изделий (программ) защиты информации и обеспечение обслуживания с внешней стороны, должна быть выполнена оценка риска, определено значение защиты и требования к управлению. 6.2.1 Идентификация рисков, связанных со внешними сторонами Директива Риски информации учреждения и средствам обработки информации от процессов, привлечённых внешними сторонами, должны быть идентифицированы и реализуется перед предоставлением доступа соответствующее средство контроля. Руководство выполнения Если имеется потребность позволить доступ внешней стороне к средствам обработки информации или информации учреждения, должна быть проведена оценка риска (см. также раздел 4), чтобы идентифицировать необходимые требования для определенного средства защиты. Идентификация рисков, связанных с доступом внешней стороны должна принимать во внимание следующие проблемы: a) удобство обработки информации внешней стороной; b) тип доступа внешней стороны к информации и средствам её обработки, например: 1) физический доступ, например к офисам, машинным залам, записям в файлах; 2) логический доступ, например, к базам данных учреждения, информационным системам; 3) сетевое соединение между учреждением и сетями внешней стороны, например постоянное соединение, удаленный доступ; 4) происходит ли место локальный или сторонний доступ; c) значение и важность задействованной информации, и ее важности для бизнес - действий; d) контроль, необходимый чтобы защитить информацию, которая не предназначена, быть доступной внешним сторонам; e) персонал внешний стороны, включенный в обработку информации учреждения; f) как учреждение или персонал уполномочили, чтобы идентифицировать проверенную авторизацию внешним сторонам и как часто должно проходить повторное подтверждение; ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
g) различие: в средствах защиты, которое использует внешняя сторона; управлении при сохранении, обработке, совместном использовании и обмене информацией; h) влияние недоступности информации внешней стороне, когда это требуется, или получение неточной, или вводящей в заблуждение информации; i) действия и процедуры при инцидентах информационной безопасности, потенциальным убыткам, срокам и условиям продолжения обращения внешней стороны с информацией; j) требования нормативов и законов, других договорных обязательств, уместных к внешней стороне, которые должны быть приняты во внимание; k) как интересы любых других заинтересованных сторон могут влиять на планы. Доступ внешних сторон к информации учреждения не обеспечивается, пока не будет реализовано соответствующее средство контроля и не выполняется, до подписания контракта, в котором прописываются сроки и условия доступа. Вообще, все требования безопасности для работы с внешними сторонами или внутренними средствами контроля должны быть отражены в соглашении со внешней стороной ( см. также 6.2.2 и 6.2.3). Это должно быть обеспечено, чтобы внешняя сторона знала о своих обязательствах, обязанностях и ответственности и дала согласие на получение доступа к коммуникациям, обработке информации и средствам обработки информации учреждения. Дополнительная информация Информация может быть отнесена к рискам внешних сторон при неадекватном управлении системой защиты. Контроль обязан быть идентифицирован и применен, для управления средствами обработки информации учреждения, к которым обращается внешняя сторона. Например, если имеется специальная потребность для обеспечения защиты конфиденциальной информации, необходимо использоваться соглашения о неразглашении таковой. Учреждения могут столкнуться с рисками, связанными с межорганизационными процессами, управлением и коммуникациями, если применена высокая степень аутсорсинга или где имеются несколько внешних вовлеченных сторон. Контроль п.п.6.2.2-6.2.3 охватывает различные мероприятия с внешними сторонами и включает, например: a) поставщиков услуг, типа Internet-сервиса, сетевых провайдеров, телефонных, эксплуатационных и поддерживающих служб; b) задействованные службы безопасности; c) клиентуру; d) аутсорсинг средств и-или действий, например, информационных систем, служб сбора данных, действий Call-центров; e) управлении, бизнес-консультантов и аудиторов; f) компании-разработчики и поставщики, например программных изделий и IT-систем; g) чистку, поставку и другие поддерживающие аутсорсинговые службы; h) временный персонал, студентов и другие случайные краткосрочные назначения. Такие соглашения снижают риски, связанные со внешними сторонами . 6.2.2. Выбор защиты, при работе с клиентами Директива До получения доступа клиентов к информации и активам учреждения должны быть выполнены все идентифицированные требования защиты. Руководство ____выполнения ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Должны выполняться следующие условия, чтобы обеспечить защиту до получения клиентом доступа к любому из активов учреждения (в зависимости от типа и степени данного доступа, не все из них, могут быть использованы): a) защита активов, включая: 1) процедуры защиты активов учреждения, включая информацию, программное обеспечение и управление известными уязвимостями; 2) процедуры определения для любой компрометации активов, например, при потере или модификации данных; 3) целостность; 4) ограничения при копировании и обнаружение информации; b) описание программы или обслуживания, которое будет обеспечено; c) различные причины, необходимые условия и выгоды для доступа клиента; d) политика управления доступом, охватывающая: 1) разрешенные методы доступа, управления и использования уникальных идентификаторов типа идентификационных номеров пользователей и паролей; 2) процесс авторизации для доступа потребителя и привилегии; 3) инструкция, гласящая, что весь доступ, который явно не разрешается, запрещается; 4) процесс, отменяющий права доступа или прерывающий соединение между системами; e) Правила для сообщений, уведомлений и расследования информационных погрешностей (например, персональных подробностей), происшествий защиты информации и нарушений защиты; f) описание каждой службы, которая будет доступна; g) уровень целевого сервиса и неприемлемый уровень обслуживания; h) право контролировать и отменять любое действие, связанное с активами учреждения; i) ожидаемая ответственность учреждения и заказчика; j) обязанности относительно юридических вопросов и как это обеспечено действующими законодательными требованиями, например законодательство защиты данных, принимая особенно во внимание различие национальных юридических систем, если соглашение, включает сотрудничество с клиентами из других странах (см. также 15.1); k) права интеллектуальной собственности7 и соглашение о сохранности авторского права (см. 15.1.2) и защита любой совместной работы (см. также 6.1.5). Дополнительная информация Требования защиты, связанные ____с клиентами, обращающимися с активам учреждений могут измениться в значительной степени в зависимости от информации и средств обработки информации, к которой обращаются. Эти требования защиты могут быть выбраны из соглашения с клиентом, которое содержит все идентифицированные риски и требования к защите (см. 6.2.1). Соглашения с внешними сторонами могут также включать также и третьи стороны. Соглашения, предоставляющие внешний доступ третей стороне должны включить разрешение от участвующих других сторон и условия для доступа и затруднительных положений. 6.2.3. Выбор средств защиты в соглашениях с третьей стороной Директива Соглашения с вовлечёнными третьими сторонами, использующими: доступ, обработку, коммуникации, управление информацией учреждения, средства обработки информации, добавление изделий (программ) или служб для средств обработки информации, должны охватывать все необходимые требования безопасности. Руководство выполнения Соглашение должно гарантировать, что не имеется никаких недоразумений между учреждением и третьей стороной. Учреждения должно убедиться относительно компенсаций третьей стороны.
7 Буквально - intellectual property rights (IPRs) ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Необходимо рассмотреть следующие условия для включения в соглашения, чтобы удовлетворить идентифицированным требованиям безопасности (см. 6.2.1): a) политика информационной безопасности; b) средство контроля, чтобы гарантировать защиту активов, включая: 1) процедуры защиты активов организации, включая информацию, программное обеспечение и аппаратные средства; 2) любая требуемая система контроля физической защиты и её механизмы; 3) средство контроля, чтобы обеспечить защиту от вредоносного программного обеспечения (см. 10.4.1); 4) процедуры, чтобы установить, произошла ли компрометация активов, например потеря или модификация информации, программного обеспечения и оборудования; 5) средство контроля, чтобы гарантировать возвращение либо уничтожение информации и активов на завершающей стадии или в согласованное время в течение срока действия соглашения; 6) конфиденциальность, целостность, доступность и любая другая характеристика активов (см. 2.1.5); 7) ограничения при копировании и разглашении информации, а так же использования соглашения о конфиденциальности (см. 6.1.5); c) обучение пользователя и администратора методам и процедурам защиты; d) обеспечение понимания пользователями проблем по защите информации и их обязанностей; e) снабжение персоналом и обеспечение ротации для лучшего соответствия; f) обязанности касающиеся аппаратной и программной инсталляции и эксплуатации; g) ясная структура отчетности и согласованные форматы сообщений; h) ясная и обусловленная договором процедура ротации администрации; i) политика контроля доступом, охватывающая: 1) различные причины, требования и выгоды, которые делают доступ третьего лица необходимым; 2) разрешенные методы доступа, управления и использование уникальных идентификаторов типа идентификационных номеров потребителя и паролей; 3) процесс авторизации для доступа пользователей и привилегии; 4) требование по поддержанию списка лиц, уполномоченных использовать доступные службы и в чем их права и привилегии относительно такого использования; 5) инструкция, что весь доступ, который явно не разрешается - запрещается; 6) процесс для отмены прав доступа или разрыва подключения между системами; j) процедуры для сообщений, уведомлений и исследования инцидентов информационной безопасности и нарушений защиты, также как нарушений необходимых условий, заявленных в соглашении; k) описание изделия (программы) или службы, и описания информации, которая будет доступна с классификацией её защиты (см. 7.2.1); l) целевой уровень сервиса и неприемлемых уровней обслуживания; m) определение критериев сервиса, поддающегося проверке, их контроля и составление отчётов; n) право контролировать и отменять, любое действие, связанное с активами учреждения; o) право аудита обязанностей, определенных в соглашении, для аудита третьим лицом и перечислять установленные законодательно права аудиторов; p) соглашение о расширении процессов для решения проблем; q) сервисные требования непрерывностинеобходимые, включая меры для доступности и надежности, в соответствии с приоритетами бизнеса учреждения; r) обязательства сторон в рамках соглашения; s) обязанности относительно юридических вопросов и обеспечения выполнения требований законодательных норм, например законодательства защиты данных, принимая во внимание различные национальные системы юридических систем, если соглашение включают сотрудничество с учреждениями других стран (см. также 15.1); t) права интеллектуальной собственности и присвоение авторского права (см. 15.1.2) и защита любой совместной работы (см. также 6.1.5); u) должны осуществить контроль привлечения третьим лицом субподрядчиков и проверку этих субподрядчиков; ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
v) условия для пересмотра / отмены соглашений: 1) план действий в чрезвычайных ситуациях должен быть соблюден в случае, если любая сторона желает прекратить отношение до окончания срока соглашения; 2) пересмотр соглашений, если требуются изменения системы защиты учреждения; 3) текущая документация списков имущества, лицензий, соглашений или прав, касающихся их. Дополнительная информация Соглашения могут значительно измениться для различных учреждений и среди различных типов третьих сторон. Поэтому должна соблюдаться осторожность, чтобы исключить все идентифицированные риски и обеспечить требования защиты (см. также 6.2.1) в соглашениях. Требуемый контроль и процедуры, где необходимо, могут быть расширены в плане защиты информации. Если управление информационной безопасностью – аутсорсинг третей стороны, соглашения должны гарантировать достаточное обеспечение безопасности, как определено оценкой риска и обслуживание при идентификации и изменении рисков. Некоторые из различий между аутсорсинг и другими формами обслуживания третьими лицами включают вопрос ответственности, планируя период перехода и потенциальный сбой действий в течение этого периода, планирования мероприятий на случай непредвиденных ситуаций, тщательного изучения совокупности причин, обзоров, коррекции и управление информацией в период инцидентов безопасности. Поэтому, важно, чтобы учреждение планировало управление изменениями в соглашении об аутсорсинге и имело соответствующие процессы, чтобы самостоятельно управлять в период изменений в пересмотре/завершении соглашения. Должны быть предусмотрены в соглашении процедуры продолжения обработки информации, когда третье лицо становится неспособным обеспечить ее сервисы, чтобы избежать любых задержек в подготовке к замене служб. Соглашения с третьими сторонами могут также включать и другие стороны. Соглашения, предоставляющие доступ третей стороны должны включить принятие в расчёт, других приемлемых сторон и условий для их доступа и участия. Вообще соглашения, прежде всего, разрабатываются самим учреждением. Могут иметься случаи в некоторых обстоятельствах, где соглашение может быть разработано и предложено учреждению третьим лицом. Учреждение должно быть гарантировано, что его собственная защита не противоречит с излишне необходимыми требованиями третьего лица, предусмотренными и предложенными соглашениями. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
7 Управление активами 7.1 Ответственность за активы Цель: Достигать и поддерживать соответствующую защиту организационных активов. Все активы должны быть учтены и иметь назначенного собственника. Должны быть идентифицированы для всех активов собственники, и должна быть определена ответственность за эксплуатацию соответствующего средства управления. Право на управление может делегироваться собственником актива, но собственник остается ответственными за правильную защиту своих активов. 7.1.1 Инвентаризация активов Директива Все активы должны быть ясно идентифицированы, а так же составляются и утверждаются описи всех важных активов. Руководство выполнения Учреждение должно идентифицировать все активы и документировать ценность этих активов. Опись актива должна включить всю необходимую информацию, чтобы восстановить ресурсы после бедствия, включая тип актива, местоположение, резервирование информации, сведения о лицензиях и важность в бизнесе. Опись не должна излишне дублировать другие описи, но это необходимо убедиться в том, что содержание соответствует действительности. Кроме того, монопольное использование (см. 7.1.2) и информационная классификация (см. 7.2) должен быть согласованы и задокументированы для каждого из активов. Базируемая на важности актива, его значении в бизнесе, классификация защиты, уровни защиты соизмеримые с важностью активов должны быть идентифицированы (подробная информация относительно того, как оценивать активы, чтобы представить их важность может быть найдена в ISO/IEC TR 13335-3). Дополнительная информация Есть много типов активов, включая: a) Информация: базы данных и файлы данных, заключаемые контракты и соглашения, системная документация, исследовательская информация, руководства пользователя, учебные материалы, процедуры: эксплуатационные или поддержки, планы непрерывности бизнеса, разрешения перехода на аварийный режим, аудиторские акты и заархивированная информация; b) Программные активы: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства разработчиков и утилиты; c) Физические активы: компьютерное оборудование, аппаратура связи, сменные носители и другое оборудование; d) Службы: вычислительные и службы связи, коммунальные услуги, например обогрев, освещение, освещение, электроэнергия и кондиционирование; e) люди с их квалификацией, умением и опытом; f) нематериальные активы, типа репутации и имиджа учреждения. Описи активов помогают гарантировать, что имеет место эффективная защита, и может также потребоваться для других целей деловой активности, типа здоровья и безопасности, страховых или финансовых причин (управление активами). Процесс компилирования описи активов – важная предпосылка управления риском (см. также раздел 4). ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
7.1.2 Монопольное использование активами Директива Вся информация и активы, связанные со средствами обработки информации и находящиеся в собственности8 учреждения должны быть определена как его часть. Руководство выполнения Владелец актива должен быть ответственен за: a) обеспечение того, что информация и активы, связанные со средствами обработки информации были соответственно классифицированы; b) определение и периодически рассмотрение классификаций и ограничения доступа, принятие во внимание соответствующих политик контроля доступа. Монопольное использование может быть распределено на: a) бизнес-процессы; b) определенный набор действий; c) приложения; или d) определенное множество данных. Дополнительная информация Стандартные задания могут делегироваться, например опекуну, заботящемуся ежедневно об активе, но ответственность остается на владельце. В сложных информационных системах может быть полезным обозначить группы активов, которые действуют вместе, чтобы обеспечить специфическую функцию типа «сервис». В этом случае владелец сервиса ответствен за поставку обслуживания, включая функционирование активов, которые обеспечивают это. 7.1.3 Приемлемое использование активов Директива Правила для допуска на использования информации и активов, связанных со средствами обработки информации должны быть идентифицированы, задокументированы и внедрены. Руководство выполнения Все служащие, работники по контракту и третьи лица должны следовать правилам для допуска на использования информации и активов, связанных со средствами обработки информации, включая: a) правила для электронной почты и пользователей Internet (см. 10.8); b) рекомендации для использования переносных устройств, особенно для использования вне помещений учреждения (см. 11.7.1); Определенные правила или инструкции должны обеспечиваться со стороны администрации учреждения.
8 Термин «владелец» идентифицирует индивидуума или объект, который принял административную ответственность, чтобы управлять производством, развитием, обслуживанием, использованием и защитой активов. Термин «владелец» не подразумевает, что персона фактически имеет какое-либо право собственности к активу. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Служащие, работники по контракту и третьи лица, использующие или имеющие доступ к активам учреждения должны знать, что существуют границы использования информации учреждения и активов, связанных со средствами обработки информации и ресурсами. Они должны нести ответственность за использование любых ресурсов обработки информации и любого такого использования под их ответственностью. 7.2 Классификация информации Цель: Гарантировать, что информация получает соответствующий уровень защиты. Информация должна быть классифицирована, чтобы указать потребность, приоритеты, и ожидаемую степень защиты при обработке информации. Информация имеет различные степени чувствительности и критичности. Некоторые элементы могут требовать дополнительного уровня защиты или специальной обработки. Должна использоваться система информационной классификации, чтобы определить соответствующий набор уровней защиты информации и определить потребность в специальный мероприятиях её обработки. 7.2.1 Рекомендации по классификации Директива Информация должна быть классифицирована в терминах ее значимости, законодательных требований, чувствительности и критичности для учреждения. Руководство выполнения Классификация и связанное с ним управление защитой информации должно учесть: потребности бизнеса в общедоступности информации либо ограниченном её использовании, влияние на бизнес и всё это связать с такими необходимостями. Рекомендации классификации должны включить соглашения для начальной классификации и реклассификации через какое-то время; в соответствии с некоторой предопределенной политикой управления доступом (см. 11.1.1). Владелец актива несёт ответственность (см. 7.1.2) за определение классификации актива, периодически анализ классификации и гарантию, что эта классификация действует постоянно на соответствующем уровне. Классификация должна учитывать эффект влияние соединения частей, которые упомянуты в 10.7.2. Необходимо рассмотреть число категорий в классификации и эффективность, которая будет получена от их использования. Чрезмерно комплексные схемы могут стать громоздкими и неэкономными для использования или окажутся непрактичными. Необходимо так же осторожно толковать метки классификации на документах от других учреждений, которые могут иметь различные определения для тем же самых или аналогично названных метках (грифах). Дополнительная информация Уровень защиты может быть оценен, при анализе конфиденциальности, целостности и доступности и любых других необходимых требований для рассматриваемой информации. Информация часто прекращает быть важной или критической после некоторого времени, например, когда информация была обнародована. Эти аспекты должны быть приняты во внимание, поскольку «при реклассификации» это может привести к применению ненужного средства управления, приводящего к дополнительным расходам. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Рассмотрение всех документов с подобными требованиями защиты при назначении уровней классификаций могло бы упростить задачи классификации. Вообще, классификация информации - краткий способ определения, как эта информация должна быть обработана и защищена. 7.2.2 Маркирование и обработка информации Директива В соответствии с схемой классификации должен быть разработан, реализован и утверждён в учреждении соответствующий набор процедур для маркирования и обработки информации. Руководство выполнения Процедуры для информационного маркирования должны касаться информационных активов в физических и электронных форматах. Выходные данные от систем, содержащих информацию, которая классифицирована как чувствительная или критическая, должен нести соответствующую метку классификации (в выходе). Маркирование должно отразить классификацию согласно правилам, установленным в 7.2.1. Элементы для рассмотрения включают напечатанные сообщения, экранные устройства отображения, сделанную запись на носителях (например, ленты (плёнки), диски, оптические компакт-диски), электронные сообщения и передачи файла. Обращаясь с процедурами должно быть, включено, определено для каждого уровня классификаций: безопасная обработка, хранение, передача, рассекречивание и уничтожение. Это должно также включить процедуры для цепочки заботы о сохранности информации и регистрации любого события с процедурой информационной безопасности. Соглашения с другими учреждениями, которые включают совместно используемую информацию, должны включить процедуры, чтобы обеспечить единую классификацию такой информации и однозначно интерпретировать метки классификации от других учреждений. Дополнительная информация Маркирование и обеспечение безопасной обработки классифицированной информации - ключевое требование для информации, совместно используемой разными организациями. Физические метки - обычная форма маркирования. Однако, некоторые информационные активы, типа документов в электронной форме, не могут быть физически помечены, поэтому должны использоваться электронные средства маркирования. Например, маркирование уведомления может появляться на экране или дисплее. Где маркирование не выполнимо, могут быть применены другие средства обозначения классификации информации, например, через процедуры или метаданные. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
8 . Безопасность человеческих ресурсов 8.1 Приоритет занятости9 Цель: Чтобы гарантировать, что служащие, работники по договору и пользователи третей стороны понимают свои обязанности для соответствующих ролей, на которые они рассматриваются, снизить риск воровства, мошенничества или неправильного употребления из средств. Обязанности по защите информации должны быть доведены до заключения контракта в адекватных описаниях задания и в сроках и условиях контракта. Все кандидаты на должность, работники по договору и пользователи третьей стороны должны быть соответственно ограничены в доступе, особенно к чувствительным заданиям. Служащие, работники по договору и пользователи третей стороны, средств обработки информации должны подписать соглашение по их ролям в защите информации и свои обязанности. 8.1.1 Роли и обязанности Директива Роли по защите информации и обязанности служащих, служащих по договору и пользователей третей стороны должны быть определены и зарегистрированы в соответствии с политикой информационной безопасности учреждения. Руководство выполнения Роли по защите информации и обязанности должны включить следующие требования по: a) правилам и действиям в соответствии с политикой информационной безопасности учреждения (см. 5.1); b) защитите активов от несанкционированного доступа, раскрытия, модификации или уничтожения; c) выполнению специфические действия или процессов по защите; d) гарантиям, что несётся персональная ответственность к индивидууму за предпринятые действия; e) рискам организации, событиям или потенциальным событиям по защите информации. Роли по защите информации и обязанности должны быть определены и доведены кандидатам до их практической работы в учреждении. Дополнительная информация Должностные инструкции могут включать роли по защите информации и обязанностями. Должны также быть ясно определены и ознакомлены с ролями по защите информации и обязанностями лица, не имеющих трудовых отношений с учреждением, например занятые через третью сторону. 8.1.2 Отбраковка Директива Предварительная (контрольная) проверка всех кандидатов на занятость, служащих по договору и пользователей третей стороны должны быть проведена в соответствии действующими законами,
9 Объяснение: слово «занятость», как предполагается, здесь расширительно толкуется для различных ситуаций: занятость людей (временный служащий или на постоянном контракте), назначение ролей работы, изменение ролей работы, подписание контрактов и прекращения любой из названных выше ситуаций. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
правилами и этикой, пропорционально необходимым условиям бизнеса, согласно классификации информации, которую нужно защитить и предполагаемым рискам. Руководство выполнения При проверке нужно принять во внимание всю уместную конфиденциальность и защиту персональных данных и/или основанное на законодательстве о занятости включить следующее: a) наличие рекомендаций удовлетворительного характера, например, такой же бизнес и такой же персонал; b) проверка (на предмет полноты и точности) краткой биографии претендента; c) подтверждение ____заявленных академических и профессиональных качеств; d) независимая проверка идентичности (паспорта или подобного документа); e) более детальные проверки, типа проверки кредитов или проверки досье (в контролирующих органах). Там, где к работе, будь то при начальном назначении или в дальнейшем, привлекается человек, имеющий доступ к средствам обработки информации, и, в особенности, если он обрабатывает чувствительную информацию, например, финансовую информацию или совершенно секретную информацию, организации следует выполнить проверку доверия. Процедуры должны определить критерии и ограничения на проверки, например, кто принимает решения по отбраковке персонала и как, когда и почему проведены проверки. Процесс проверки на благонадёжность должен также быть выполнен для служащих по договору и пользователей третей стороны. Там, где этот штат служащих обеспечивается через агентство, контракт с агентством должен ясно определять обязанности агентства по проверке на благонадежность и процедурам уведомления, которым оно должно следовать, если проверка не была закончена или, если результаты дают основания для сомнения или беспокойства. Таким же образом, соглашение с третей стороной (см. также 6.2.3) должно ясно определить все обязанности и порядки уведомления для отбора. Информация относительно всех кандидатов, рассматриваемых для занятия должностей в учреждении, должна быть собрана и обработана в соответствии с существующим законодательством, в уместной юрисдикции. В зависимости от соответствующего законодательства кандидатам заранее объясняется относительно отборочных действий. 8.1.3 Сроки и условия занятости Директива Как часть обязательства по контракту, служащих, служащих по договору и пользователи третей стороны должны согласовать и подписать условия контракта их занятости, который должен объявить их обязанности по информационной безопасности в учреждении. Руководство выполнения Сроки и условия занятости должны отразить политику информационной безопасности, кроме этого включаются: a) что все служащие, служащие по договору и пользователи третей стороны, кто получает доступ к охраняемым сведениям, должны подписать соглашение о конфиденциальности или неразглашении до того, как получили технологическое оборудование доступа к информации; b) служащие, служащие по договору и любые другие пользовательские юридические(законные) обязанности и права, например относительно законов об авторском праве, законодательства защиты данных ( см. также 15.1.1 и 15.1.2); c) обязанности для классификации информации и управления активами организации, связанных с информационными системами и службами, обрабатываемых служащим, служащим по контракту или третей стороной (см. также 7.2.1 и 10.7.3); ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
d) обязанности служащего, служащего по договору или третей стороны для обработки информации, полученной от других компаний или внешних сторон; e) обязанности учреждения при обработке персональной информации, включая персональную информацию, созданную в результате или в процессе работы в учреждении (см. также 15.1.4); f) обязанности, которые распространяются вне учреждения и вне рабочее время, например в случае работы на дому (см. также 9.2.5 и 11.7.1); g) действия, которые нужно принять, если служащий, служащий по договору или третья сторона игнорирует необходимые требования информационной безопасности учреждения (см. также 8.2.3). Учреждение должно убедиться гарантировать, что служащие, служащие на договоре и третья сторона соглашаются на сроки и условия относительно информационной безопасности, соответствующей роду и степень доступа, который они будут иметь к активам учреждения, связанных с информационными системами и службами. Соглашения, касающиеся сроков и условий занятости, касающиеся конфиденциальности должны продолжаться в течение определенного периода, когда служащие покинут организацию или контракты должны закончиться (см. также 8.3). Дополнительная информация Кодекс поведения может использоваться, чтобы охватить служащего или третью сторону, обязанностями относительно конфиденциальности, защиты данных, этики, надлежащего применение оборудования учрежденияи средств учреждения, ожидаемых учреждением. Подрядчик или третья сторона могут быть связаны с внешним учреждением, которое может в свою очередь требовать, чтобы ввести в договорные положения требования по возмещению от имени законтрактованной персоны. 8.2 В течение периода занятости Цель : Чтобы гарантировать, что служащие, служащие на договоре и третья сторона знают информационные угрозы защите информации и предприятия, их обязанности и денежные обязательства, оснащены необходимым оборудованием, для поддержания организационной политики по защите информации в ходе их нормальной работы и отклонять риск человеческого фактора. Обязанности в управлении должны быть определены, чтобы гарантировать, что защита применена в течение занятости индивидуума в пределах учреждения. Необходимо обеспечить всем служащим, служащим на договорах и третей стороне адекватный уровень понимания, образования и обучения процедурам по защите информации и правилам использовании средств обработки информации, чтобы минимизировать возможные угрозы безопасности. Должен быть установлен формальный дисциплинарный процесс для обработки нарушений по защите информации. 8.2.1 Обязанности администрации Директива Администрация должна требовать от служащих, служащих по договору и третей сороны применить процедуры защиты в соответствии с установленными политиками и регламентами учреждения. Руководство выполнения Обязанности администрации должны включать обеспечение того, что служащие, служащие на договоре и третья сторона: ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
a) проинформированы должным образом об их информационных ролях по защите информации и обязанностях до предоставления доступа к охраняемым сведениям или информационным системам; b) обеспечены руководствами, чтобы формулировать ожидаемые нормы по защите информации, выполняемые в пределах учреждения; c) выполняют активно политику информационной безопасности учреждения; d) достигают уровня понимания по защите информации, соответствующего их роли и обязанностям в пределах организации (см. также 8.2.2); e) соответствуют срокам и условия занятости, которые включает политику информационной безопасности учреждении и соответствующие методы работы; f) продолжают иметь соответствующие умения и квалификацию. Дополнительная информация Если служащие, служащие на договоре и третья сторона не ознакомлены со своими обязанностями по защите информации, они могут вызвать значительное ущерб учреждению. Мотивированных персонал, вероятно, будет более надёжным и вызывать меньшее количество нарушения информационной безопасности. Некачественное администрирование может заставлять у персонала чувство заниженной требовательности, приводящее к отрицательному отношению к защите информации в учреждении. Например, плохое администрирование может вызывать пренебрежению к защите или потенциальное неправильное использование активов учреждения. 8.2.2 Понимание требований по защите информации, обучение и тренировки Директива Все служащие учреждения и где уместно служащие по договору и пользователи третей стороны должны получить соответствующее обучение пониманию и регулярным обновлениям в организационных политиках и процедурах для их функционирования в работе. Руководство выполнения Обучение понимание требований нужно начать с формального процесса обучения, намереваясь ввести политику информационной безопасности учреждения и не дожидаясь, когда будет получен доступ к информации или предоставлены услуги. Продолжение обучения должно включать требования по защите информации, обязанности, средство бизнес - контроля, также как обучающийся в правильном использовании средств обработки информации, например процедура вхождения, использование пакетов программ и информации относительно дисциплинарного процесса (см. 8.2.3). Дополнительная информация Понимание требований по защите, обучение и тренировочные действия должны соответствовать роли лица, обязанностям и квалификациям и должно включить информацию относительно известных угроз, с кем необходимо войти в контакт для дальнейшего обучения по защите информации и каналов для сообщения о происшествиях в защите информации (см. также 13.1). Обучение для расширения понимания информационных проблем предназначено, чтобы позволить индивидууму узнавать информационные проблемы безопасности и инциденты и реагировать согласно необходимости по их роли работы. 8.2.3 Дисциплинарный процесс ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Директива Должен применяться формализованный дисциплинарный процесс для служащих совершивших нарушение по защите информации. Руководство выполнения Дисциплинарный процесс не должен быть начат без предшествующей проверки факта нарушения защиты (см. также 13.2.3 для сбора доказательств). Формализованный дисциплинарный процесс должен гарантировать правильное и справедливое рассмотрение для служащих, которые подозреваются в совершении нарушений системы защиты. Формализованный дисциплинарный процесс должен предусмотреть дифференцированное ступенчатое обхождение, которое учитывает факторы, характер и серьёзность нарушения, его воздействие на бизнес, действительно ли это первое или повторное нарушение, действительно ли нарушитель должным образом обучен, уместные нормы и законодательные акты, бизнес контракты и другие требуемые факторы. В случаях серьезных проступков процесс должен разрешать смену обязанностей, перемещение режимов работы, прав доступа и привилегий, немедленного удаления из информационного процесса в случае необходимости. Дополнительная информация Дисциплинарный процесс должен также использоваться как средство устрашения, чтобы предотвратить нарушения организационных требований политик по защите информации, процедур и любых других нарушений по защите информации служащими, служащими на договоре и третей стороной. 8.3 Завершение или изменение занятости Цель : Гарантировать, что служащие, служащие на договоре и третья сторона покидают учреждение или меняют занятость организованным способом. Должно быть вменено в обязанности администраторов учреждения требование, чтобы при увольнении служащего, служащего по договору или третей стороны гарантировано блокировать пользовательскийвход в информационную систему, вернуть оборудование и закончить перемещения всех прав доступа. Изменение обязанностей и занятости, ровно и как прекращение соответствующей ответственности или занятости в пределах учреждения должно управляться в соответствии с этим разделом, а любые новые должностные ответственности должны управляться как описано в 8.1. 8.3.1 Завершение обязанностей Директива Обязанности для увольняющегося с работы или при изменения должности должны быть ясно определены и назначены. Руководство выполнения При уведомлении об увольнении или переводе служащего, служащего по договору или третей стороны, обязанности должны включать необходимые требования по информационной безопасности и законных обязательств по продолжению исполнения обязанностей, содержащихся в пределах любого соглашения конфиденциальности (см. 6.1.5), сроков и условий занятости (см. 8.1.3), продолжающихся в течение определенного периода после конца срока контракта. В контракте служащего, служащего по договору или третей стороны должно содержаться такое требование: что обязанности, режимы работы остаются прежними после того, как прекращена занятость. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Изменения ответственности или занятости должно управляться, также как и управляться процесс увольнения, или изменение ответственности, или занятости как это описано в разделе 8.1. Дополнительная информация Подразделение учреждения, управляющее человеческими ресурсами несёт ответственность за процесс прекращения занятости и работает вместе с непосредственным руководителем увольняемого человека, чтобы управлять уместными процедурами и аспектами информационной безопасности. В случае, если сотрудник работает по договору через агентство, процесс увольнения этого сотрудника, как и других, принятых на работу через агентство может быть выполнено этим агентством. Может быть необходимым так же сообщить служащим, клиентам, служащим по договору или третей стороне об изменениях в составе персонала или действий по должностным перемещениям. 8.3.2 Возвращение активов Директива Все служащие, служащие на договоре и третья сторона должны возвратить активы учреждения находящиеся в их пользовании при прекращении их занятости, контракта или соглашения. Руководство выполнения Процесс прекращения полномочий должен быть формализован, чтобы включить возвращение всех предварительно выданных программных, корпоративных документов и оборудования. Другие организационные активы, типа: мобильных вычислительных устройств, кредитных карточек, карточек доступа, программного обеспечения, справочников, информации, сохраненной электронных носителях, также должны быть возвращены. В случаях, где служащий, служащий по договору или третья сторона купит оборудование, учреждения или использует собственное персональное оборудование, должны исполняться процедуры, чтобы гарантировать, что вся информация возвращена учреждению и надежно стерта с носителей оборудования (см. также 10.7.1). В случаях, когда служащий, служащий по договору или третья сторона имеет информацию, которая является важной для продления действий учреждения, эта информация должна быть зарегистрирована и возвращена учреждению. 8.3.3 Изменение прав доступа Директива Права доступа всех служащих, служащих по договору и третей стороны к информации и средствам обработки информации должны быть удалены при прекращении их занятости, контракта или соглашения, или откорректированы изменения. Руководство выполнения После увольнения - права доступа индивидуума к активам, связанным с информационными системами и службами должно быть пересмотрено. Это устанавливает при необходимости удалить права доступа. Изменения должны отражаться в удалении всех прав доступа, которые не одобрены для новой занятости (должности). Права доступа, которые должны быть удалены или адаптированы, включают физический и логический доступ, ключи, идентификационные средства, средства обработки информации (см. также 11.2.4), подписки, и уничтожение любых документов, которые идентифицирует их как действующего служащего учреждения. Если увольняемый служащий, ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
служащий по договору или третья сторона знали пароли, остающиеся активным, то пароли должны быть изменены при увольнении или изменении условий занятости, контракта или соглашения. Права доступа к информационным активам и средствам обработки информации должны быть прекращены или удалены прежде, чем увольняемый служащий уничтожит или изменит их, в зависимости от оценки риска: a) инициализированы ли прекращение или изменение служебного положения служащим, служащим по договору или третей стороной или администрацией и причина увольнения; b) Текущие обязанности служащего, служащего по договору или третей стороны; c) значимость активов, доступных в настоящее время. Дополнительная информация В некоторых обстоятельствах права доступа могут быть распределены в базах данных по групповым идентификаторам и поэтому будут доступны большему количеству людей, чем увольняемому служащему, служащему по договору или третей стороне. В таких обстоятельствах, увольняемый служащий должен быть удален из любых списков группового доступа и должны быть сделаны изменения, чтобы уведомить всех других служащих, служащих по договору и третей стороне, чтобы в разделяемом ресурсе больше совместно не использовать эту информацию с уволенным лицом. В случаях увольнения, инициализированного администрацией учреждения, рассерженные служащие, служащий по договору или третья сторона могут умышленно разрушать информацию или саботировать работу средств обработки информации. Такие лица в случаях отставки могут быть соблазнены сбором информации для перспективного использования. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
9 Физическая безопасность и безопасность среды 9.1 Зоны безопасности Цель: предупреждать неправомочный физический доступ, разрушение и вмешательство на инфраструктуру учреждения и информацию. Критическая информация или критично важное технологическое оборудование должны быть размещены в защищенных областях, защищены периметрами охраны с соответствующими барьерами по защите информации и средством контроля физического доступа. Также критично важные активы должны быть защищены физически от несанкционированного доступа, ущерба и вмешательства. Обеспечение защиты, должно быть соразмерно с идентифицированными рисками. 9.1.1 Физическая линия охраны Директива Для защиты помещений, которые содержат средства обработки информации и собственно информацию должны использоваться периметры безопасности (барьеры типа стен, входные ворота, управляемых картой доступа или служба регистрации и обслуживания гостей). Руководство выполнения Нужно рассмотреть выполнение следующих рекомендаций и реализовать их для защиты физических периметров: a) должны быть четко определены периметры защиты и их расположение, крепость каждого из периметров должна зависеть от необходимых условий по защите активов в пределах периметра и результатов оценки риска; b) периметры зданий или местонахождение, содержащее средства обработки информации должны быть физически изолированы (то есть, не должно иметься никаких промежутков в периметре или областях, где легко может происходить взлом); наружные стены помещения должны иметь твердую конструкцию и все внешние двери должны быть соответственно оборудованы средствами против несанкционированного доступа с контрольными механизмами, например решетками, системой тревоги, блокировки и т.д; двери (крышки) и окна должны быть блокироваться, когда рассматривается автоматическая и внешняя защита для окон, особенно находящихся на первом этаже; c) в помещениях или зданиях должны быть области, отведенные для посетителей (с контролем физического доступа); доступ к помещениям и зданиям должен быть ограничен, с возможностью доступа только уполномоченного персонал; d) где возможно, должны быть смонтированы физические барьеры, чтобы предупредить неуполномоченный физический доступ и загрязнение окружающей среды; e) все загрузочные дверцы топки на периметры безопасности должны быть подключены к охранной сигнализации, осмотрены и проверены вместе с стенками, чтобы установить необходимый уровень сопротивления в соответствии с соответствующими региональными, национальными ____и международными стандартами; они должны работать в соответствии с локальной температурой огня и быть отказоустойчивыми; f) соответствующие системы детектирования вторжения должны быть установлены применительно к требованиям национального, регионального или международного стандарта и регулярно проверяться, чтобы охватывать все внешние двери и доступные окна; свободные от людей помещения должны всегда быть подключены к тревожной сигнализации; покрытие так же должно быть предусмотрено и для других областей, например комнат связи или машинного зала; ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
g) средства обработки информации, используемые учреждением, должны быть физически отделены от тех которые используются третьими лицами. Дополнительная информация Физическая защита может быть достигнута, путем создания одного или большего количества физических барьеров вокруг помещений учреждения и средств обработки информации. Использование множества барьеров дает дополнительную защиту, где отказ одного барьера не подразумевает, что вся защита немедленно ставится под угрозу. Безопасной областью считается блокируемый офис или несколько помещений, окруженных непрерывным внутренним физическим барьером защиты. Чтобы управлять физическим доступом могут быть необходимы дополнительные барьеры и периметры, между областями с различными необходимыми требованиями по защите внутри периметра защиты. Необходимо рассматривать специальные требования по контролю физического доступа в зданиях и сооружениях, где размещены несколько учреждений. 9.1.2 Средства контроля физического доступа Директива Защищенные области должны быть защищены соответствующим средством контроля доступа, чтобы гарантировать проход только персоналу, которому разрешают доступ. Руководство выполнения Необходимо выполнять следующие рекомендации: a) дата и время прибытия и убытия посетителей должна быть зарегистрирована, все посетители должны контролироваться; если доступ посетителей не был предварительно одобрен, то им нужно только предоставлять доступ для определенных, разрешенных целей и должен быть пропущены согласно инструкциями по необходимым условиям безопасности организации в чрезвычайных ситуациях. b) доступ в участки, где обрабатывается или хранится критично важная информация, должен управляться и ограничиваться допуском только доверенных лиц; необходимо использовать для аутентификации и подтверждения доступа всех лиц опознавательные средства контроля, например карты контроля доступа плюс PIN-код; должен надёжно сохраняться журнал от всей системы контроля доступа; c) все служащие, служащие на договоре, третья сторона и все посетители должны носить некоторые средства видимой идентификации и если персонал учреждения сталкивается с посетителем, либо любым лицом, не носящим видимые средства идентификацию, либо без сопровождения, то это событие немедленно извещается персоналу службы безопасности; d) обслуживающему персоналу третей стороны нужно предоставлять ограниченный доступ в области с технологическим оборудованием обрабатывающим защищаемые сведения и только когда это требуется; этот доступ должен быть уполномочен и проверен; e) права доступа в защищаемые участки должны регулярно пересматриваться, обновляться и отменяться, когда это необходимо (см 8.3.3). 9.1.3 Безопасность офисов, занимаемых помещений и средств обслуживания Директива Должна быть разработана и применена физическая защита для офисов, занимаемых помещений и средств обслуживания. Руководство выполнения ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Должны выполняться следующие рекомендации, чтобы обеспечить безопасность офисов, помещений и средств обслуживания: a) вменяемые или принимаемые правил безопасности должны быть уместны правилам техники безопасности и стандартам; b) средства для доступа с использованием ключевых карточек должны быть расположены так, чтобы избежать публичного доступа; c) здания учреждений, где это применимо, должны давать минимальную информацию относительно их предназначения, быть без очевидных знаков, снаружи или внутри здания, идентифицирующих присутствие процедур обработки информации; d) справочники ____и внутренние телефонные книги, идентифицирующие размещения оборудования, обрабатывающего защищаемые сведения не должны иметь публичного доступа. 9.1.4 Защита против внешних и угроз окружающей среды Директива Должна быть разработана и применена физическая защита против: повреждения от огня, затопления, землетрясения, взрыва, общественного беспорядка и других форм природных или антропогенных катастроф. Руководство выполнения В любых случаях необходимо дать оценку угрозам защиты, представленным в непосредственной близости с охраняемых помещений, например пожар в соседнем здании, взрыв на улице, вода, просачивающаяся с крыши или с земли в цокольном этаже здания. Должны быть учтены следующие рекомендации, чтобы избежать ущерба от огня, затопления, землетрясения, взрыва, общественного беспорядка и других форм природного или антропогенного бедствия: a) опасные или горючие материалы должны храниться на безопасном расстоянии от охраняемого участка. Большие запасы типа бумаги для печатающих устройств не должна быть храниться в пределах охраняемого участка; b) оснащение для перехода на аварийный режим и средства резервного копирования должны быть расположены на безопасном расстоянии, чтобы избежать повреждения от бедствия, воздействующего главный объект; c) противопожарное оборудование должно быть укомплектовано и помещено в соответственное место. 9.1.5 Работа в защищаемых зонах Директива Должны быть разработаны и применены рекомендации для работы и физической защиты в защищаемых зонах. Руководство выполнения Необходимо учитывать следующие рекомендации: a) персонал должен только знать о предписанных в случае необходимости действиях в пределах охраняемого помещения; b) нужно избегать неконтролируемых работ в защищаемых зонах из соображений безопасности и предупреждать возможные злонамеренные действия; c) свободные защищаемые участки (зоны), должны быть заблокированы физически и периодически проверяться; d) фото, видео, аудио или другую записывающую аппаратуру, типа камер в мобильных устройствах (телефонах), нельзя позволятьиспользовать, если это не разрешено отдельно. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Мероприятия для работы в защищаемых участках включают контроль за служащими, служащими по договору и третей стороной, работающих в защищаемых помещениях, также как и для других действий третей стороны, имеющих там место. 9.1.6 Открытый доступ, доставка и погрузочные зоны Директива Места доступа, типа зон доставки, погрузки и других места, куда могут входить неуполномоченные лица, должны контролироваться и, если возможно, изолированы от средств обработки информации, чтобы избежать несанкционированного доступа. Руководство выполнения Необходимо учитывать следующие рекомендации: a) доступ к доставочной зоне и погрузочной району снаружи здания должен быть разрешён идентифицированному и разрешенному персоналу; b) доставочный и погрузочный район должны быть спроектированы так, чтобы поставки могли быть разгружены персоналом доставки без получения доступа к другим частям здания; c) внешние двери доставочной и погрузочной зоны должны быть закрыты и находиться под охраной, когда открыты двери во внутренние охраняемые помещения; d) получаемые материалы (грузы) должны быть осмотрены для снятия потенциальных угроз (см. 9.2.1d) прежде, чем груз будет перемещен из доставочного и погрузочного района к месту использования; e) при поступлении в организацию материалы (грузы) должны быть учтены в соответствии с процедурами управления активами (см. также 7.1.1); f) где возможно, должны быть физически разделены приходящие и исходящие отгрузки. 9.2 Защита оборудования Цель: Предупреждать ущерб, воровство или подрыв репутации активов и перерывов в работе учреждения. Оборудование должно быть защищено от физических и угроз окружающей среды. Необходимо, снизить риск несанкционированного доступа к информации и защитить от утраты или повреждения активов (включая используемые удалённые активы и активы вне территории организации). Это должно также должно касаться оборудования и права распоряжаться им. Может потребоваться специальное средство контроля, чтобы осуществить защититу от физическихугроз и для охраны средств поддержки защиты, типа кабельной инфраструктуры и поставки электроэнергии. 9.2.1 Расположение оборудования и его защита Директива Оборудование должно быть расположено или защищено, чтобы снизить риски от угроз окружающей среды и риски возможностей несанкционированного доступа. Руководство выполнения Для обеспечения защиты оборудования необходимо принимать во внимание следующие рекомендации: ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
a) оборудование должно размещаться так, чтобы минимизировать ненужный доступ в области обработки информации; b) средства обработки информации, расположенные на защищаемых складах и обрабатывающие критично важную информацию должны быть установлены так, чтобы избежать: несанкционированного доступа и просмотра обрабатываемой информации неправомочными лицами; c) кроме того, требуется специальная защита изолированного оборудования, чтобы снизить общий уровень требуемой защиты; d) чтобы минимизировать риск потенциальных физических угроз, например: воровство, пожар, взрыв, дым, затопление (или неисправность водоснабжения), пыль, вибрацию, химическое или электрическое воздействие, вмешательство в систему связи, электромагнитная радиация и вандализм должно использоваться средство контроля ; e) должны быть разработаны рекомендации по организации процедур еды, питья и курения в близости к средствам обработки информации; f) для функционирования средств обработки информации должны быть приведены к благоприятному уровню, окружающие условия типа температуры и влажности; g) ко всем зданиям должна быть применена защита от молний, должны быть установлены на всех входах электропитания и линий связи фильтры защиты от молний; h) в индустриальных средах для оборудования должны применяться специальных методы, типа мембран клавиатуры; i) оборудование обработки критично важной информации должно быть специально защищено, чтобы минимизировать риск информационных потерь из-за излучения10. 9.2.2 Вспомогательные коммунальные службы Директива Оборудование должно быть защищено от сбоев питания и другихсбоев, вызванных неисправностями в коммунальных услугах. Руководство выполнения Все коммунальные услуги, типа электроснабжения, водоснабжения, канализации сточных вод, нагревания/вентиляции и кондиционирования воздуха должны быть адекватны для систем, которые они обслуживают. Коммунальные службы должны регулярно осматривать и соответственно проверять, чтобы гарантировать надежное функционирование, а так же снизить любой риск от сбоя или отказа. Источник подача электроэнергии должен соответствовать техническим требованиям фирмы - изготовителя оборудования. Источник бесперебойного питания (UPS) должен обеспечить надлежащее закрытие запущенных процессов или работу в непрерывном режиме оборудования, проводящего обработку критично важных бизнес процессов. Планы действий в чрезвычайных ситуациях должны охватывать процессы подачи энергии при аварии UPS. В случае длительного сбоя питания должен использоваться дублирующий генератор, если того требует процесс обработки. Должен быть предусмотрен достаточный запас топлива, чтобы гарантировать, что генератор может работать в течение длительного периода. Оборудование UPS и генераторы должны быть регулярно проверены, чтобы гарантировать, что обеспечат адекватную емкость (пропускную способность) в соответствии с рекомендациями фирмы – изготовителя оборудования. Кроме того, можно рекомендовать использованию нескольких источников питания или подстанций, если организация потребляет больше мощности, чем несколько отдельных подстанции. Переключатели от резервных источников аварийного питания должны быть расположены около аварийных выходов в аппаратных, чтобы в случае чрезвычайного обстоятельства облегчить быстрое
10 Имеется в виду ПЭМИН (побочное электромагнитное излучение и наводки) ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
отключение энергии. Должно быть обеспечено пожарное освещение в случае сбоя главного источника питания. Водоснабжение должно быть устойчивой и адекватно обеспечить: систему кондиционирования воздуха, оборудование увлажнения и системы пожаротушения (где используется). Сбои в системе водоснабжения могут повредить оборудование или препятствовать эффективному действию по подавлению очага пожара. Должна быть определена и установлена, если требуется, система сигнализации обнаружения неисправности в коммунальных системах. Оборудование передачи данных должно быть соединено с сервисным провайдером и иметь, по крайней мере, не менее двух маршрутов (способов) связи, чтобы в случае неисправности в одном из маршрутов, предупредить голосом соответствующую службу. Услуги голосовых служб должны быть адекватны требованиям местного законодательства для аварийных связей. Дополнительная информация Для того чтобы достигнуть непрерывности источника питания следует использовать многолучевую схему поступления электроэнергии, чтобы избегать единой точки отказа в электропитании. 9.2.3 Защита кабельной инфраструктуры Директива Сети энергетические и телекоммуникационные сети передачи данных, переносящие данные или поддерживающие информационные службы должны быть защищены от перехвата или повреждения. Руководство выполнения Рекомендуются следующие меры для безопасности кабельной инфраструктуры: a) энергетические телекоммуникационные линии передачи данных в средства обработки информации должны, где возможно, должны быть подземные, или иметь адекватную защиту; b) кабельные сети должны быть защищены от несанкционированного перехвата или повреждения, например, используя трубопроводы или избегая маршрутов через общие проходы; c) силовые кабели должны быть отделены от кабелей связи, чтобы избежать наводок; d) должны использоваться четко идентифицируемые кабели и маркирование оборудования, для минимизации ошибки, типа случайного внесения исправлений при ремонте сетевых кабелей; e) во избежание возможности ошибок, необходимо документально оформлять список кабелей подвергнутых «горячему» ремонту; f) при использовании легкоуязвимых или критично важных систем управления, необходимо учесть необходимость: 1) инсталляции бронированного кабелепровода закрываемыхкабельных шкафов, кроссовых комнат и точек терминирования; 2) использования альтернативной маршрута и/или способов связи, предусматривающих соответствующую защиту; 3) использование волоконного оптического соединения; 4) использование электромагнитного экранирования, для защиты кабелей; 5) инициализация технического обзора и физических инспекций для приложенных(подсоединённых) несанкционированных устройств; 6) контролируемый доступ к распределительным панелям и кабельным помещениям. 9.2.4 Техническое обслуживание Директива ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Чтобы гарантировать длительную пригодность и целостность оборудования, оно должно быть правильно обслужено. Руководство выполнения Предлагаются следующие рекомендации для технического обслуживания: a) оборудование должно быть обслужено в соответствии с рекомендуемыми требованиями компании - поставщика интервалами и спецификацией; b) только уполномоченный технический персонал должен вести ремонт и сервисное обслуживание оборудования; c) должны сохраняться отчеты о всех подозрительных или фактических неисправностях и всего профилактического и внепланового технического обслуживания; d) должно быть реализовано соответствующее средство контроля, когда оборудование намечено для обслуживания, принять во внимание, выполняется обслуживание персоналом учреждения или персоналом внешней организации; где необходимо, критично важная информация должны быть уничтожена с оборудования, или технический персонал должен иметь соответствующий допуск; e) должны быть выполнены все требования полисов страхования. 9.2.5 Защита оборудования вне помещений учреждения Директива Принимая во внимание различные риски, должна быть применена защита на оборудование, расположенное вне учреждения. Руководство выполнения Независимо от права собственности, использование любого оборудования обработки информации вне учреждения должно быть уполномочено руководством учреждения. Должны учитываться следующие рекомендации для защиты оборудования, использующегося вне помещений учреждения: a) оборудование и средства, уносимые из помещений учреждения не должны быть оставлены без присмотра; переносные компьютеры должны перевозиться, как ручная кладь и где это возможно, при путешествии замаскированными; b) должны учитываться инструкции изготовителей оборудования, чтобы соблюдать, например, защиту против воздействия сильного электромагнитного поля; c) средство контроля типа дом - работа должно быть определено в соответствии с оценкой риска и используемым контролем, например блокируемые «картотечные шкафы», «политика чистого стола», средства защиты от несанкционированного доступа и безопасная связь с офисом (см. также ISO/IEC 18028 Сетевая Безопасность); d) должно быть предусмотрено адекватное страховое покрытие, чтобы защитить оборудование вне учреждения. Угрозы безопасности, например повреждение, воровство или подслушивания, могут измениться значительно в разных помещениях и должны быть приняты во внимание для определения соответствий средств контроля. Дополнительная информация Средства сохранения информации и использование средств обработки информации включают все формы персональных компьютеров, органайзеров, мобильных телефонов, smart-карточек, документов в бумажной или на другой формы, которая разрешена к использованию для домашней работы или транспортируемый далеко от обычного места работы. Подробная информация относительно других аспектов защиты мобильного оборудования может быть найдена в 11.7.1. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
9.2.6 Безопасность уничтожения или повторное использование оборудования Директива Все элементы оборудования, содержащего носители данных, должны быть проверены, чтобы гарантировать, что любые критично важные данные и запатентованное программное обеспечение было удалено или надежно записана Дополнительная информация поверх прежней. Руководство выполнения Устройства, содержащие критично важную информацию должны быть физически уничтожены или должна быть уничтожена информация, удалена или записана поверх, используя специальные методы, чтобы делать информацию оригинала невосстановимой, что предпочтительнее, чем использование стандартного средства стирания информации или функции форматирования. Дополнительная информация Требуют оценки риск, чтобы установить, должны ли поврежденные устройства, содержащие критично важную информацию, быть физически разрушены, чем посланы для ремонта или забракованы. Информация может быть скомпрометирована небрежным правом распоряжаться или повторным использованием оборудования (см. также 10.7.2). 9.2.7 Передача собственности Директива Не должны быть использованы вне учреждения без предшествующего документального решения руководства оборудование, информация или программное обеспечение. Руководство выполнения Необходимо учитывать следующие рекомендации: a) оборудование, информация или программное обеспечение не должны быть использованы вне организации без предварительного документального разрешения руководства; b) служащие, служащие на договоре и третья сторона, имеющие полномочия к разрешению перемещение активов вне пределов учреждения, должны быть идентифицированы руководством; c) сроки времени для перемещения должны быть согласованы и должны быть проверены при возврате оборудования; d) где необходимо, соответствующее, оборудование должно быть зафиксировано как выносимое вне учреждения и задокументировано, когда возвращено. Дополнительная информация Могут быть также выполнены выборочные проверки, предпринятые, чтобы обнаружить неуполномоченное перемещение имущества, чтобы обнаружить незарегистрированные устройства, оружие и т.п., а так же предупреждать их пронос в организацию. Такие внезапные проверки должны быть проведены с разрешением соответствовать законодательству и регулирующих норм. Персонал должен быть оповещён, что возможны внеплановые проверки и проверки должны выполняться с разрешения руководства учреждения, соответствовать требованиям законов и регулирующих норм. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
10 Система связи и администрирование действий 10.1 Порядок действий и обязанности Цель: Гарантировать правильное и защищенное функционированиесредств обработки информации. Должны быть установлены обязанности и процедуры для администрирования и функционирования всех средств обработки информации. Это включает разработку соответствующей процедуры эксплуатации. Должна быть реализована изоляция режимов работы, где следует снизить риск небрежности или преднамеренного неправильного употребление систем. 10.1.1 Документирование эксплуатации техники Директива Техника эксплуатации должна быть задокументирована, утверждена, а документация сделана доступной всем потребителям, кто нуждаются в ней. Руководство выполнения Должна быть подготовлена документация на процедуры действий всей системы, связанной со средствами связи и обработкой информации, типа компьютерной, процедур начала и завершения функционирования, технического обслуживания, ремонта оборудования, установки средств, компьютерных залов и почты, администрирования и безопасности. Документация на эксплуатацию техники должна определить инструкции для детального исполнения каждого задания, включая: a) обработку и сбор информации; b) резервное копирование (см. 10.5); c) планирование необходимых требований, включая взаимозависимости с другими системами, начало самого первого задания и время завершения работы; d) команды для обработки ошибок неправильного обращения или других исключительных условий, которые могли бы возникать в течение хода работы, включая ограничения на использовании системных утилит (см. 11.5.4); e) контакты служб поддержки в случае неожиданных рабочих или технических проблем; f) специальный вывод и инструкции обработки носителей, типа использования специальной бумаги для печатающих устройств, администрирования выхода конфиденциальной информации, включая процедуры для безопасной утилизации от выхода неудавшихся заданий (см. 10.7.2 и 10.7.3); g) рабочий рестарт и процедуры восстановления для использования в случае отказа; h) администрирование контрольных записей и информации системного журнала (см. 10.10). Операционные процедуры, инструкции для действий должны быть обработаны и в случае необходимости изменены, как официальные документы и утверждены руководством учреждения. Где технически выполнимо, информационные системы должны управляться единообразно, используя те же самые процедуры, инструментальные средства и коммунальные службы. 10.1.2 Управление изменениями Директива Должны контролироваться изменения в обработке информации и в средствах обработки информации. Руководство выполнения ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Действующие системы и прикладное программное обеспечение должно подчиняться строгому административному контролю изменений. В частности нужно рассмотреть следующие позиции: a) идентификация и регистрация существенных изменений; b) планирование и испытание изменений; c) оценка потенциальных воздействий, включая проблемы в защите от таких изменений; d) формальная процедура одобрения для предложенных изменений; e) детализация в сообщении об изменениях для всех задействованных лиц; f) процедуры перехода на аварийный режим, включая процедуры и обязанности для прерывания выполнения и исправления от неудачных изменений и непредвиденных событий. Должны применяться формализованные обязанности администрации и процедуры, чтобы гарантировать удовлетворительное управление всеми изменениями на оборудовании, программном обеспечении или процедурах. Когда проведены изменения, контрольный журнал, содержащий всю соответствующую информацию, должен быть сохранен. Дополнительная информация Неадекватное управление проведением изменений средств обработки информации и системы - общая причина неисправностей системы или отказа защиты. Изменения на условия эксплуатации, особенно при переходе системы от разработки до рабочей эксплуатации, может повлиять на надежность приложений (см. также 12.5.1). Изменения в действующих рабочих системах, должны быть сделаны только тогда, когда имеется весомая причина, типа возрастания риска системе. Модификация систем до последних версий операционной системы или приложений - не всегда в интересе бизнеса, поскольку это может ввести больше уязвимости и неустойчивости, чем текущая версия. Может также иметься необходимость дополнительного обучения, затрат на лицензии, поддержку обслуживания, административного надзора и новых аппаратных средств особенно в течение периода миграции. 10.1.3 Разделение обязанностей Директива Режимы работы и области ответственности это методы снижения рисков от неуполномоченного или не вредоносного изменения или неправильного использования авуаров учреждения. Руководство по внедрению Разделение режимов работы - метод для сокращения риска случайного или преднамеренного неправильного использования системы. Должна быть предпринята осторожность, чтобы любой отдельный сотрудник человек не мог обратиться, изменить или использовать активы авуары без обнаружения или разрешения. Инициирование событий должно быть разделено функционально от службы, дающей разрешения. Должна учитываться в проектировании средства защиты возможность сговора. Малые учреждения могут найти, что разделение режимов работы трудно достичь, но сам принцип должен быть применен, насколько он возможен и реален. Всякий раз, когда трудно выделить, другое средство защиты, типа контроля действий, контрольных записей, администрацией учреждения должно применяться диспетчерское управление. Важно, что аудит безопасности должен быть независим. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
10.1.4 Разделение разработки и испытания рабочих средств Контроль Разработка, испытание, и рабочие средства должны быть разделены, чтобы снизить риски несанкционированного доступа или изменений действующей системы. Руководство по внедрению Уровень разделения между рабочими, испытательными, разрабатываемыми средами, необходим, чтобы предупредить рабочие проблемы которые должны быть идентифицированы и осуществлён соответствующий контроль. Следующие позиции должны применяться: a) должны быть определены и задокументированы правила для передачи программного обеспечения от этапа разработки до рабочего состояния; b) разрабатываемое и рабочее программное обеспечение должно работать на различных системах или компьютерах, в различных доменах или каталогах; c) компилятор, редакторы, другие инструментальные средства разработки или системные утилиты не должны быть доступны в действующих операционных системах когда нет необходимости; d) среда испытательной среды должна подражать среде действующей системы настолько близко, насколько это возможно; e) пользователи должны использовать различные профили пользователя для рабочих и испытательных систем, а меню должны показать соответствующие идентифицирующие сообщения, чтобы снизить риск ошибки; f) критично важные данные не должны быть скопированы в среду испытательной системы (см. 12.4.2). Дополнительная информация Разработка и испытательные действия могут вызывать серьезные проблемы, например нежелательное изменение файлов, или рабочей среды, или системного отказа, в этом случае, имеется необходимость поддержать известную и устойчивую среду, чтобы исполнять значимое испытание и предотвращать неуместный доступ разработчика. Персонал, имеющий доступ к разработке и тестированию на действующей системе и информации, может ввести неправомочный и непроверенный код или изменить рабочие (действующие) данные. На некоторых системах это может вызвать злоупотребление, чтобы совершить мошенничество или ввести вредоносный код, который может вызывать серьезные проблемы в работающей системе. Разработчики и испытатели также ставят под угрозу конфиденциальность рабочей информации. Разработка и действия испытателя могут вызывать непреднамеренные изменения программного обеспечение или информации, если они совместно используют ту же самую вычислительную среду. Желательно снизить риск случайного изменения или несанкционированного доступа к рабочему программному обеспечению и бизнес информации, разделяя среды разработки, испытание и работы (см. также 12.4.2 для защиты испытательных данных). 10.2 Администрирование службы доставки третьей стороны Цель : Осуществлять и поддерживать соответствующий уровень информационной безопасности и сервиса доставки в соответствии с соглашением по обслуживанию доставки третьей стороной. Учреждение должнопроверить выполнение соглашений, проверять соответствие с договорами и управлять изменениями, чтобы гарантировать, что службы доставки выполняют все требования согласованные с третьей стороной. 10.2.1 Сервисная доставка ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Контроль Должно быть обеспечено включенные в соглашение со службой доставки осуществляемой третей стороной: контроль безопасности, ясные формулировки условий сервиса, уровни доставки, которые используются третей стороной. Руководство по внедрению Сервисная поставка третей стороны должна включать согласованные меры безопасности, четкие однозначные определения и положения по обслуживанию потребителя. В случае соглашений по аутсорсингу, учреждение должно планировать необходимые переходы (информации, средств обработки информации и чего-нибудь еще, что должно быть перемещено) и должно гарантировать, что при осуществлении пересылки поддерживается безопасность. Учреждение должно гарантировать, что третья сторона имеет достаточные мощности для осуществления плана и может гарантировать, что уровни непрерывности сервиса предусмотрены после наступления главных сервисных неисправностей или бедствия (см. 14.1). 10.2.2 Мониторинг и обзор служб третьей стороны Контроль Услуги, отчеты и сообщения, представленные третей стороной должны быть регулярно рассмотрены и проверены, ревизии должны выполняться регулярно. Руководство по внедрению Мониторинг и обзор служб третей стороны должны гарантировать, что защита информации сроки и условия соглашений твердо выдерживаются и что информационные инциденты безопасности информации и проблемы управляются должным образом. В процесс между учреждением и третей стороной, включает зависимость обеспечения обслуживания потребителя, сюда должны входить: a) контроль уровней сервисного выполнения, для проверки строгого соблюдения выполнения соглашения; b) обзор сервисной отчетной документации, произведенной третьей стороной и регулярные встречи для развития отношений, как требуется в соответствии с соглашениями; c) обеспечение информации относительноинцидентов информационной безопасности и обзора этой информации третей стороной учреждением, как требуется в соответствии с соглашениями, любыми рекомендациями и процедурами поддержки; d) обзор журналов событий третей стороны и отчетов событий по безопасности информации, проблем в работе, неисправностей и сбоев, относящихся к предоставленной службе; e) решение и управление любыми идентифицированными проблемы. Ответственность за управление связями с третей стороной должна быть назначена определённому лицу управления учреждением или звена обеспечения обслуживания потребителей. Кроме того, учреждение должно гарантировать, что третья сторона передает обязанности для проверки согласительных процедур и обязательств требований условий соглашений. Должны иметься достаточные квалификации у специалистов и снабжения, чтобы контролировать требования соглашения (см. 6.2.3), в особенности выполнение требований безопасности. При наблюдении неточностей в сервисе доставки, должны быть предприняты адекватные действия, Учреждение должно поддерживать достаточное полное управление и различимость во все виды защиты для чувствительной или критично важной информации, средств обработки информации, процессы и управление третей стороной. Учреждение должно гарантировать, что поддерживается и сохраняется обзор в действиях по безопасности, типа замена администрации, идентификация уязвимости, сообщения и реакции на инцидент по защите, при установленном определенном формате и структуре процесса сообщения. Дополнительная информация ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
В случае аутсорсинга, учреждение должно быть предупреждено, что окончательная ответственность за информацию, обработанную стороной предоставляющей услуги аутсорсинга, остается за учреждением – владельце информации. 10.2.3 Управление изменениями сервиса, представленного третей стороной Контроль Изменения в условии услуг, включая поддержание и улучшение существующих политик безопасности информации, процедур и контроля, должны управляться, принимая во внимание: критичность бизнес систем и вовлеченных сервисов, а так же переоценку рисков. Руководство по выполнению Процесс управления изменениями в обслуживании третей стороной, должен учитывать: a) изменения, сделанные учреждением, чтобы осуществить: 1) расширения текущих предлагаемых служб; 2) разработку любых новых приложений и систем; 3) изменения или обновления политик и процедур учреждения; 4) новое средство контроля, чтобы решить информационные инциденты и улучшить защиту; b) изменения в службах третей стороны, чтобы осуществить: 1) изменения и расширение сети; 2) использование новой технологии; 3) принятие новых изделий(программ) или более новых версий/выпусков; 4) новые инструментальные средства развития и среды; 5) изменения физического размещения средств обслуживания; 6) изменение(замена) продавцов. 10.3 Планирование и приемка систем Цель: Снижение риск неисправностей систем. Требуются долгосрочное планирование и подготовка, чтобы гарантировать доступность адекватной емкости и ресурсов, чтобы осуществить необходимую системную деятельность. Должно быть сделано проектирование будущих требуемых производительностей, чтобы снизить риск системной перегрузки. Эксплуатационные требования к новым системам должны быть установлены, задокументированы и проверены до их принятия и использования. 10.3.1 Управление производительностью Контроль: Использование ресурсов должно быть спроектировано исходя из будущих необходимых требований по производительности, настроено, чтобы гарантировать необходимую деятельность системны. Руководство по выполнению Для каждой новой и продолжающейся деятельности должны быть идентифицированы, требования к производительности. Должны применяться настройки системы и мониторинг, чтобы гарантировать и где необходимо, улучшать доступность и эффективность систем. Необходимо использовать выявляющий контроль в местах, чтобы указать время и проблемы. Проектирование будущих необходимых мощностей должно принимать во внимание потребности нового бизнеса, системные требования, текущие и проектируемые тенденциив возможностях обработки информации учреждения. Детальное внимание должно быть обращено на ресурсы с длинным периодом использования или высокой стоимости, поэтому руководство учреждения должно контролировать использование ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
ключевых системных ресурсов. Оно должно идентифицировать тенденции в использовании, особенно относительно бизнес-приложений или инструментальных средств системы управления информацией. Руководство учреждения должно использовать эту информацию, чтобы идентифицировать и избежать потенциальных узких мест и зависимости от ключевого персонала, который мог бы представить угрозу системной защите или службам и планировать соответствующее воздействие. 10.3.2 Принятие систем Контроль: Должны быть установлены приемные критерии для новых информационных систем, обновлений и новых версий и проведены соответствующие испытания системы в течение времени разработки и до ее принятия. Руководство по внедрению Руководство учреждения должно гарантировать, что требования и критерии для принятия новых систем ясно определены, согласованы, задокументированы и испытаны. Новые информационные системы, обновления и новые версии должны быть перемещены в производство после получения формального разрешения. Должны учитываться следующие элементы до получения формального разрешения: a) эксплуатационные характеристики и требования по производительности; b) восстановление при ошибках, процедуры рестарта и планы действий в чрезвычайных ситуациях; c) подготовка и испытание действий процедур согласно определенным стандартам; d) наличие согласованного набора системы защиты и управления; e) эффективные ручные процедуры; f) меры обеспечения непрерывности бизнеса (см. 14.1); g) доказательства, что инсталляция новой системы не будет неблагоприятно воздействовать на существующие системы, особенно в пике нагрузки, типа конец месяца; h) доказательство того, что новая система отрицательно не повлияет на общую безопасность учреждения; i) обучение работе или использованию новых систем; j) легкость в использовании, поскольку это воздействует на работу и избегает человеческой ошибки. Для главных новых разработок необходимо прописывать функцию сопровождения, чтобы пользователи могли консультироваться на всех стадиях процесса разработки, что гарантирует эффективность предложенной и спроектированной системы. Должны быть проведены соответствующие испытания, чтобы подтвердить, что все критерии приемки были полностью удовлетворены. Дополительная информация Приёмка может включать формальное свидетельство и процесс аккредитации, чтобы проверить, что соответствие норм информационной безопасности. 10.4 Защита от вредоносного и мобильного кода Цель: Защитить целостность программного обеспечения и информации. Требуются предосторожности, чтобы предотвратить и обнаружить введение вредоносного кода и неправомочного мобильного кода. Программное обеспечение и средства обработки информации уязвимы к воздействию вредоносного кода, типа компьютерных вирусов, сетевых червей, троянских коней и логических бомб. Пользователи должны быть предупреждены об опасности вредоносного кода. Руководство ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
учреждением, где необходимо, должны ввести средство контроля, чтобы предупреждать, обнаруживать и удалить вредоносный код и управлять мобильным кодом. 10.4.1 Контроль вредоносного кода Контроль Должны быть осуществлены обнаружение, предотвращение и управление восстановлением, чтобы защитить от вредоносного кода и приспособить потребителя к понятно осуществляемым процедурам. Руководство по внедрению Защита от вредоносного кода должна быть основана на: детектировании вредоносного кода и восстановления программного обеспечения; понимании вопросов безопасности; соответствующем контроле и управлении изменение и доступом к системе. Нужно учитывать следующие руководства: a) установление официальной политики безопасности, запрещающей использование неутвержденного программного обеспечения (см. 15.1.2); b) установление официальной политики безопасности против рисков, связанных с получением файлов и программного обеспечения через внешние сети или от любой другой среды, указывающей, какие защитные меры должны, предприняты (см. также 11.5, особенно 11.5.4 и 11.5.5); c) проведение регулярного анализа программного обеспечения и содержания данных систем, поддерживающих критично важные бизнес процессы; должно быть официально исследовано присутствие любых неутвержденных файлов или неуполномоченных изменений; d) инсталляционные версии программ детектирования вредоносного кода, программное обеспечение лечения и управление их обновлением должно проводиться на регулярной стандартной основе и должны включать: 1) проверку перед использованием любых файлов на электронных или оптических носителях и файлов, полученных по сетям, на предмет наличия вредоносного кода; 2) проверка вложений электронной почты локальной сети и закладок на наличие вредоносного кода перед использованием; эта проверка должна быть вынесена в различных местах, например в серверах электронной почты, настольных компьютерах и при входе в сеть учреждения; 3) Проверка web-страниц на наличие вредоносного кода; e) определение процедур управления и обязанностей для сотрудников, имеющих дело с защитой от вредоносного кода в системах, обучение в их использовании, сообщении об атаках и блокирование атак вредоносного кода (см. 13.1 и 13.2); f) подготовка соответствующих планов непрерывности бизнеса и блокирования атак вредоносного кода, включая все необходимые данные и программы резервного копирования и восстановления (см. 14); g) осуществление процедур регулярного сбора информации, типа подписки на рассылки и/или новостных информационных узлов, дающих информацию относительно нового вредоносного кода; h) осуществления процедур, чтобы проверить информацию, касающейся вредоносного кода и гарантирующей, что бюллетени предупреждения являются точными и информативными; управляющий персонал должны гарантировать, что используются квалифицировали источники, например журналы с уважаемой репутацией, достоверные сайты Internet или компании - поставщики, производящие защиту программного обеспечения от вредоносного кода, чтобы дифференцироваться между обманным и реальным умышленным кодом; все пользователи должны быть оповещены о проблеме обманных кодов и действиях при получении их. Дополнительная информация Использование двух или больше средств по защите информации программных изделий против вредоносного кода от различных поставщиков в среде обработки информации может улучшать эффективность защиты от вредоносного кода. Чтобы гарантировать, что защита актуальна, программное обеспечение по защите от вредоносного кода может быть установлено так, чтобы обеспечить автоматическое обновление баз идентификаторов вредоносного кода. Кроме того, это программное обеспечение может быть установлено на каждом рабочем месте для ведения автоматического контроля. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
В течении времени эксплуатации и чрезвычайных мер должна быть предпринята осторожность, чтобы осуществить постоянную защиту, чтобы не допустить возможность обхода вредоносного кода от нормального средства защиты. 10.4.2 Контроль мобильного кода11 Контроль Разрешенный мобильный код должен работает согласно ясно определенной политике безопасности, где использование мобильного кода разрешено, а конфигурация устройств должна гарантировать, что неуполномоченный (несанкционированный) мобильный код не может выполняться. Руководство по внедрению Должны рассматриваться следующие воздействия, чтобы защититься против несанкционированного мобильного кода: a) выполнение мобильного кода в логически изолированной среде; b) блокировка любого использования мобильного кода; c) блокировка получения мобильного кода; d) активизация возможных технических мер на определенной системе, чтобы гарантировать управляемость мобильным кодом; e) контроль ресурсов, доступных мобильному коду; f) использование криптографического контроля для подтверждения подлинности мобильного кода12. Дополнительная информация Мобильный код - программный код, который переходит с одного компьютера на другой компьютер, затем автоматически выполняется и исполняет определенную функцию без взаимодействия илис малым взаимодействием между пользователем и системой. Мобильный код связан с рядом служб межплатформенного программного обеспечения. Для избегания несанкционированного использования мобильного кода, сбоя системы, сети, ресурсов приложений и других нарушений информационной безопасности необходимо управлять мобильным кодом и проверять, чтобы он не содержал вредоносного кода. 10.5 Резервное копирование Цель : Поддерживать целостность и доступность средств обработки информации и информации. Должны быть установлены стандартные процедуры, чтобы осуществить согласованную политику безопасности и стратегию на резервное копирование (см. также 14.1) для того, чтобы восстанавливать данные из копии и репетировать их своевременнее восстановление. 10.5.1 Резервное копирование информации Контроль В соответствии с согласованной политикой безопасности должны проводиться и регулярно проверяться дублирование информации и программного обеспечения.
11 Комментарий: здесь речь идёт о мобильный коде, т.е. переносимом коде (mobile code) Мобильный код продолжает правильно работать после переноса в другие приложения или в другие точки иерархии внутри одного приложения. Мобильность кода основывается на использовании относительной адресации и делает возможным создание модульного кода. 12 Комментарий: здесь речь идёт о подписании мобильного кода ключами, сертифицированными доверенными идентифицированными организациями. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Руководство по внедрению Нужны адекватные средства резервного копирования, чтобы гарантировать, что вся существенно необходимая информация и программное обеспечение может быть восстановлено после неисправности носителей или бедствия. При резервирования информации необходимо учесть следующее: a) должен быть определен необходимый уровень резервного копирования информации; b) должны вестись точные и детальные записи средства резервного копирования информации и зарегистрированы все события, в том числе и при восстановлении; c) степень и частота резервирования (например, полная или дифференциальная копия) должна отразить требования учреждения, необходимые требования информационной безопасности и критичность информации для непрерывного функционирования учреждения; d) информация резервного копирования должна быть сохранена в на достаточном расстоянии отдаленном местоположении, чтобы избежать ущерба от любого бедствия в главном вычислительном центре; e) информации резервного копирования нужно дать соответствующий уровень физической защиты и воздействия окружающей среды (см. п. 9) совместимый со стандартами, применяемыми на главном вычислительном центре; средства управления резервными данными применяемое на главном вычислительном центре должно быть распространяться и на запасной вычислительный центр; f) средства резервного копирования должны регулярно тестироваться, чтобы гарантировать, что на них можно полагаться, когда необходимо для использования в чрезвычайных обстоятельствах; g) процедуры восстановления должны быть регулярно протестированы и проверены, чтобы гарантировать, что они эффективны и что они могут быть закончены в пределах времени, определенного в процедурах действий для восстановления; h) в ситуациях, где конфиденциальность имеет значение, резервное копирование должно быть защищено посредством криптографии. Размещения средств резервного копирования для индивидуальных систем должны быть регулярно проверены, чтобы гарантировать, что они отвечают требованиям непрерывности бизнес планов (см.14). Для критических систем, средства резервного копирования должны охватывать всю информацию систем, приложения и данные, необходимые чтобы восстановить всю законченную систему в случае бедствия. Должны быть документально определено (см. 15.1.3) любое требование для копий архива и сроков хранения необходимой коммерческой информации, которая должна сохраняться постоянно. Дополнительная информация Средства резервного копирования, может быть автоматизировано, чтобы облегчить процесс восстановления и резервирования данных. Такие автоматизированные решения должны быть предварительно проверены до выполнения их с определенной регулярностью. 10.6 Управление безопасностью сети Цель: Гарантировать защиту информации в сетях и защиту поддерживающий инфраструктуры. Управление безопасностью сетей, которые могут охватывать границы организации, требует осторожного отношения к потоку данных, правовых последствий, мониторингу и защите. Также может быть необходим дополнительный контроль для защиты чувствительной информации, передаваемой по публичным сетям. 10.6.1 Сетевой контроль Контроль: Необходимо поддерживать защиту для систем и приложений и соответственно управлять и контролировать, информацией, используемой в сети, в том числе и транзитной информацией, если сети должна быть защищена от угроз. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Руководство по внедрению Администраторы сети должны осуществлять контроль, чтобы гарантировать защиту информации в сетях и защиту подключенных услуг от несанкционированного доступа. В частности необходимо учитывать следующее: a) действующая персональная ответственность, где возможно (см. 10.1.3), за операции в сети на компьютерах пользователей; b) должны быть установлены обязанности и процедуры для администрирования удаленного оборудования, включая оборудование пользовательских рабочих мест; c) должно быть установлено специальное средство элементов управления, чтобы защитить конфиденциальность и целостность данных, передаваемых через публичные сети или по беспроводным сетям, для защиты соединенных систем и приложений (см. 11.4 и 12.3); специальное средство контроля может также потребоваться, чтобы поддерживать доступность сетевых служб и соединенных компьютеров; d) должны быть применены соответствующая регистрация и контроль, чтобы обеспечить записи уместных действий по защите информации; e) должны быть скоординированы действия руководства, чтобы оптимизировать обслуживание учреждения и гарантировать, что средство управления применены ко всей инфраструктуре обработки информации. Дополнительная информация Дополнительная информация относительно защиты сетевой информации может быть найденав ISO/IEC 18028, Information technology -Security techniques - IT network security (Информационная технология - Методы защиты информации - сетевая защита ИТ). 10.6.2 Безопасность сетевых служб Контроль Безопасность показывает уровни сервисов и требований по управлению всеми сетевыми службами, которые должны быть идентифицированные и включенные в каждое соглашение об сетевых услугах и обеспечены ли они внутренними службами или методом аутсорсинга. Руководство по внедрению Для управления согласованными сервисами безопасным способом должны быть определены и регулярно контролироваться квалификация провайдера сетевых услуг, а так же должно быть согласовано право на аудит отчетности. Должны быть идентифицированы системы безопасности, необходимые для специфических служб, таких как специальная защита, уровни обслуживания и требования администрации учреждения. Провайдеры сетевых услуг должны гарантировать учреждению, что осуществят эти меры. Дополнительная информация Службы сети включают обеспечение соединений, служб ведомственной частной сети, учета сетей и управляемых сетевых решений по защите информации типа систем межсетевых экранов и систем обнаружения вторжения. Эти службы могут ранжироваться от простой неконтролируемой полосы пропускания до сложных предложений по динамически расширяемой полосы пропускания. Особенностями защиты сетевых услуг могут быть: a) технологии связанные с защитой сетевых служб, типа идентификации, кодирования и средства контроля сетевого подключения; b) технические параметры, необходимые для безопасного подключения к сетевым службам в соответствии с параметрами защиты и правилами сетевых подключений; ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
c) процедуры для сетевой службы эксплуатации, чтобы ограничить, где необходимо, доступ к сетевым службам или приложениям. 10.7 Обработка носителей Цель: Предотвращать неправомочное раскрытие, модификацию, удаление или разрушение активов и нарушение непрерывности бизнеса. Носители должны управляться и быть физически защищенными. Должны быть установлены соответствующие действия рабочих процедур для защиты документов, компьютерных ____носителей (например, дисков, лент), данных ввода-вывода и системной документации от неправомочного раскрытия, модификации, удаления и разрушения. 10.7.1 Управление сменными носителями Контроль Должны быть отработаны процедуры для администрирования процессов использования съемных носителей. Руководство по внедрению Нужно рассмотреть следующие рекомендации для управления сменными носителями: a) если содержимое любых носителей многократного использования больше не будет истребовано, но эти носители могут быть изъяты из учреждения, то информацию на них нужно сделать невосстановимой; b) где необходимо и практично, должно требоваться разрешение на вынос носителей из учреждения и отчет таких перемещений должен сохраняться в журналах, чтобы поддержать ссылки для проверки; c) все носители должны сохраняться в сейфах и безопасной среде, в соответствии с техническими требованиями фирм - изготовителей; d) информация, сохраненная на носителях, которая должна быть доступной дольше, чем продолжительность жизни носителей (в соответствии с техническими требованиями фирм - изготовителей) должна быть также сохранена в другом месте, чтобы избежать потери информации из- за деградации носителей; e) должна применяться регистрация съемных носителей, чтобы ограничить возможность потери информации; f) съемные диски нужно использовать только тогда, если в бизнесе для этого имеется причина. Все процедуры и уровни разрешений должны быть ясно задокументированы. Дополнительная информация Съемные носители включают ленты, диски, флеш - диски13, съемные жесткие диски, CD, DVD и напечатанная информация. 10.7.2 Уничтожение носителей информации Контроль Утилизация ненужных носителей информации должна проводиться надежно и безопасно, используя формальные процедуры. Руководство по внедрению Формализованные процедуры для безопасной утилизации носителей информации должны минимизировать риск критично важной информации от использования их неуполномоченными
13 Примечание: в том числе и флеш-устройства. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
лицами. Процедуры ____для безопасного уничтожения носителей информации, содержащих критично важную информацию должны быть соразмерны с важностью этой информации. Нужно учесть следующие меры: a) носители, содержащие критично важную информацию должны сохраняться в сейфах и уничтожаться надежно и безопасно, например методом сжиганием или размельчением, или стиранием данных для использования другим приложением в пределах учреждения; b) должны быть использованы процедуры, для идентификации средств, которые могли бы требовать безопасной утилизации; c) возможно проще принять меры, чтобы все носители информации были собраны и надежно утилизированы, чем попытаться выделить носители с критично важной информацией; d) много организаций предлагают услуги по сбору и утилизации документов, оборудования и носителей информации; должна быть осторожность в выборе соответствующего служащего с опытом и адекватным контролем над ним; e) уничтожение элементов, связанных с важной информацией должно быть задокументировано в журналах, чтобы оставить след для аудита событий. При накоплении носителей для уничтожения, нужно предусматривать результат соединения частей, который можно получить методом объединения большого количества нечувствительной информации, в результате чего становится известной очень важная информация. Дополнительная информация Защищаемые сведения могут быть раскрыты небрежной утилизацией носителей информации (см. также 9.2.6 об информации относительно утилизации оборудования). 10.7.3 Процедуры обработки информации Контроль Должны быть установлены процедуры транспортировки и хранения информации, чтобы защитить эту информацию от несанкционированного раскрытия или неправильного употребления. Руководство выполнения Должны быть составлены процедуры для сбора, обработка, хранения и передачи информации согласно с ее классификацией (см. 7.2). Необходимо рассмотреть следующее: a) обработка и маркировка всех носителей информации должна проводиться согласно обозначенному уровню классификации; b) ограничения доступа, чтобы предупредить доступ несанкционированного персонала; c) регистрация формальных отчетов от авторизованных получателей данных; d) обеспечение завершения операций ввода данных, должна быть закончена обработка должным образом и проведена проверка правильности выходных данных; e) защита данных, записанных в буферный файл, ожидающих выхода на соответствующий уровень, совместимый с их важностью; f) хранение носителей информации в соответствии с техническими требованиями фирм - изготовителей; g) хранение распределенных данных в минимальном объеме; h) четкая маркировка всех копий носителей информации для усиления внимания авторизованного пользователя; i) пересмотр списков распределения и списков авторизованных пользователей в равные интервалы времени. Дополнительная информация Эти процедуры применяются к информации: в документах, вычислительных системах, сетях, мобильных компьютерах, мобильных телефонах, почте, звуковой почте, всей передаче речевых сигналов, мультимедиа, средствам почтовых услуг, использовании факсимильных аппаратов и любых других элементов, особо охраняемых от расхищения, например: незаполненные чеки, счета. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
10.7.4 Безопасность системной документации Контроль Системная документация должна быть защищена от несанкционированного доступа. Руководство по внедрению Чтобы защитить системную документацию, необходимо учитывать: a) системная документация должна быть надежно сохранена; b) должен сводиться к минимуму список лиц, допущенных к системной документации и этот список должен утверждаться у собственника приложения; c) системная документация, хранящаяся в сети общего пользования или поддерживающаяся через сеть общего пользования, должна быть соответственно защищена. Дополнительная информация Документация системы может содержать ассортимент критично важной информации, например: описания процессов приложений, процедур, структур данных, процессов авторизации. 10.8 Обмен информацией Цель: Поддерживать безопасность информации и программного обеспечения, обмениваемого в пределах учреждения и с любымвнешним объектом. Обмен информацией и программным обеспечением между учреждениями должен быть основан на формальной политике безопасности, выполненной в соответствии с соглашениями по обмену и в соответствии с требованиями законодательства (см. раздел 15). Должны быть установлены процедуры и стандарты, чтобы защитить информационные и физические носители, содержащие информацию при перемещении. 10.8.1 Политика обмена информацией и ее процедуры Контроль Должны быть принята формализованная политика обмена информацией, ее процедуры и средства управления, чтобы защитить обмен информацией с помощью любого типа средств связи. Руководство выполнения Для обмена информацией при использовании средств связи радиоэлектронными средствами нужно учитывать следующие позиции процедур и средств контроля: a) процедуры предназначенные для защиты предаваемой информацию от перехвата, копирования, модификации, неправильной маршрутизации и уничтожения; b) процедуры для обнаружения и защиты информации против вредоносного кода, который может быть внедрен с помощью электронной связи (см. 10.4.1); c) процедуры для по защите критично важной информации, которая находится в форме вложения электронного сообщения; d) политика или рекомендации предназначенные для использования радиоэлектронными средствами связи (см. 7.1.3); e) процедуры для использования беспроводной связи, принимая во внимание вовлеченные специфические риски; f) служащий, служащий по договору должен нести ответственность за любые другие действия, которые не идут на компромисс и ставят под угрозу учреждение, например посредством клеветы, преследования, олицетворения, отправление писем счастья, неправомочной покупки и т.д.; g) использование криптографических методов чтобы защитить конфиденциальность, целостность и подлинность информации (см. 12.3); h) сохранение и рекомендации по уничтожению для всей коммерческой переписки, включая сообщения, в соответствии с требованиями национального и местного законодательства и инструкциями; ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
i) не оставлять чувствительной или критично важной информации на печатающих устройствах, например копировальных устройствах, принтерах и факсимильных аппаратах, так как на них может работать несанкционированный персонал; j) управлять и ограничивать процессы, связанные с отправлением посредством средств связи, например: автоматическим отправлением электронной почты к внешним адресам почты; k) напоминать персоналу, о соответствующих мерах предосторожностях, например: не ссылаться на защищаемые сведения, чтобы избежать подслушиваний или прерываний при общении по телефону: 1) лиц в их непосредственной близости особенно при использовании мобильных телефонов; 2) перехватывание и другие формы подслушивания при физическом доступе к телефонной трубке или телефонной линии или использованию сканирующего приемника; 3) лиц на принимающей стороне; l) не оставлять сообщений, содержащих критично важную информацию на автоответчиках, так как на них имеется возможность прослушивания этих сообщений неуполномоченными лицами, при сохранении сообщений на общей сети или неправильно сохраненных сведениях в результате ошибки в наборе номера; m) напоминать персоналу относительно проблем с использованием факсимильных аппаратов, а именно: 1) несанкционированный доступ к встроенным банкам памяти сообщений, чтобы отыскать сообщения; 2) запрет на программирование факса, чтобы послать сообщения определенным номерам; 3) посылка документов и сообщений к неправильно набранному номеру, в результате ошибки в наборе номера или использованием неправильного сохраненного номера; n) напоминать персоналу, не регистрировать демографические данные, типа адреса электронной почты или другой персональной информации, в любом программном обеспечении, чтобы избежать их сбора для неуполномоченного использования; o) напоминать персоналу, что современные факсимильные аппараты и фотокопировальные устройства имеют кэши страницы и хранят информацию в памяти и в случае неисправности передачи или ошибки очистки памяти эта информация может быть случайно напечатана. Кроме того, персоналу нужно напомнить, что они не должны иметь конфиденциальных переговоров в общественных местах или открытых офисах и местах приемов с незвукоизолюрующими стенками. Средства передачи информации должны соответствовать законодательным требованиям (см. п 15 ). Дополнительная информация Обмен информацией может происходить с помощью ряда различных средств связи, включая электронную почту, голос, факсимиле и видеосигнал. Программный обмен может проходить ряд различных сред, включая загрузки из Internet и приобретение имеющихся программ от продавцов. Нужно рассмотреть необходимые условия средств бизнеса, законодательных норм и норм безопасности и требования для контроля, связанные с безбумажной технологией, электронной торговлей и радиоэлектронными средствами связи. Информация может быть скомпрометирована из-за недостатка понимания политики безопасности или процедур использования средств обмена информацией, например подслушивание на мобильном телефоне в общественном месте, отправка по неправильному адресу сообщения электронной почты, автоответчики, подслушивание, несанкционированный доступ к вызванным по телефону системам звуковой почты или случайная отсылка факсимиле на неправильное факсимильное оборудование. Бизнес операции могут быть прерванными и информация может быть скомпрометированной при перегрузке, обрыве или сбое средств связи (см. 10.3 и 14). Информация может быть скомпрометированной при обращении несанкционированными потребителями (см. 11). ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
10.8.2 Соглашения по обмену информацией14 Контроль Должны быть установлены соглашения для обмена информацией и программным обеспечением между учреждением и внешними сторонами. Руководство выполнения Соглашения по обмену информацией должно учитывать следующие условия по защите информации: a) обязанности администрации по управлению, уведомлению передачи, отправки и получению; b) процедуры для и уведомления отправителя по управлению, уведомлению передачи, отправки и получению; c) процедуры для гарантирования отслеживаемости и невозможности отказа от авторства; d) минимальные техническиенормы для упаковки и передачи; e) соглашения депонированного документа; f) стандарты идентификации курьера; g) обязанности и ответственность в случае нарушения информационной безопасности, типа потери данных; h) использование согласованной системы маркировки для чувствительной или критично важной информации, гарантируя, что значение меток немедленно должно быть понято и что информация соответственно защищена; i) монопольное использование и обязанности для защиты данных, авторского права, лицензии программного обеспечения и подобных рассмотрений (см. 15.1.2 и 15.1.4); j) технические нормы для того, чтобы делать запись и чтение информации и программное обеспечение; k) любое специальное средство контроля, которое может потребоваться, чтобы защитить особо чувствительные элементы системы, типа криптографических ключей (см. 12.3). Политика, процедуры и стандарты должны быть установлены и утверждены руководством, чтобы защитить информационные и физические носители в перемещении (см. также 10.8.3) и должны быть упомянуты в таких соглашениях по обмену. Содержание любого соглашения по защите информации должно отразить чувствительность включенной коммерческой информации. Дополнительная информация Соглашения могут быть электронные или в виде руководства и могут иметь форму формальных контрактов или условий занятости. Для защищаемых сведений, определенные механизмы, использованные для обмена такой информацией должны быть одинаковы для всех учреждений и типов соглашений. 10.8.3 Физические средства хранения информации при перемещении Контроль Средства хранения информации, содержащие защищаемую информацию должны быть защищены от несанкционированного доступа, неправильного употребления или искажения в течение транспортировки вне физических границ учреждения. Руководство выполнения Должны выполняться следующие рекомендации, чтобы защитить информационные средства, транспортируемые между учреждениями: a) должны использоваться надёжная транспортировка или курьеры; b) список разрешенных курьеров должен быть, согласован с администрацией учреждений; c) должны быть разработаны процедуры, чтобы проверить идентификацию курьеров;
14 Примечание: название может быть переведено как «Регламент информационного взаимодействия» ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
d) упаковка должна быть достаточна, чтобы защитить содержимое от любого физического повреждения, вероятного в течение перемещения и в соответствии с техническими требованиями всех фирм - изготовителей (например, для программного обеспечения), например, защита от любых параметров окружающей среды, которые могут снизить эффективность восстановления носителей типа теплового воздействия, влажности или электромагнитных полей; e) средство безопасности должно использоваться, где необходимо, чтобы оградить защищаемые сведения от неуполномоченного раскрытия или изменения; примеры включают: 1) использование блокируемых контейнеров; 2) ручную доставку; 3) невосстанавливаемые упаковки (которые показывают любую попытку получить доступ); 4) в исключительных случаях, разделение вложения в больше, чем одну доставку и направление частей различными маршрутами. Дополнительная информация Информация может быть уязвима к несанкционированному доступу, неправильному употреблению или искажению в течение физической транспортировки, например при посылке средств через почтовую службу или через курьера. 10.8.4 Передача электронных сообщений Контроль Должна быть соответственно защищена информация, включенная в электронную передачу сообщений. Руководство выполнения Требования по безопасности информации для передачи в электронном Виде должны включять следующее: a) защита сообщений от несанкционированного доступа, изменения или отказа в обслуживании; b) обеспечение правильной адресации и транспортировки сообщения; c) общая надежность и доступность службы; d) юридические нормы, например требования для электронной подписи; e) получение санкции на использования внешних публичных коммуникационных служб типа мгновенной передачи сообщений или совместно используемого файла; f) более усиленные уровни идентификации, контролирующие доступ от публично доступных сетей. Дополнительная информация Передача сообщений типа электронной почты, электронный обмен данными15 и мгновенная передача сообщений играет все более и более важную роль в общениях по деловым вопросам бизнеса. Электронная придача сообщений имеет другие риски, чем информация, передаваемая на бумажной основе. 10.8.5 Системы коммерческой информации Контроль Должны быть разработаны и реализованы политика и процедуры, чтобы защитить информацию взаимосвязанную с системами коммерческой информации. Руководство выполнения Необходимо включить процедуры безопасности при обслуживании бизнеса для снижения риска:
15 Electronic Data Interchange (EDI) ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
a) известных уязвимостей в администрировании и системе учета, где информация разделена между различными частями учреждения; b) уязвимости информации в системах рабочего общения, например деловая запись телефонных запросов или циркулярных вызовов, конфиденциальность запросов, хранение факсимиле, вскрывая и распределяя почту; c) политики и соответствующего средства контроля для управления информацией совместного использования; d) исключения из обработки категорий важной коммерческой информации и секретных документов, если система не обеспечивает соответствующий уровень по защите информации (см. 7.2); e) ограничение доступа к информации дневникового типа, касающейся выбранных личностей, например персонал, работающий над важными проектами; f) категории персонала, служащих по договору или деловых партнеров которым разрешено использовать систему и рабочие места, от которых можно обращаться к защищаемому ресурсу (см. 6.2 и 6.3); g) ограничение по выбору средств для определенных категорий пользователей; h) идентификация статуса пользователей, например служащие учреждения или служащий по договору в алфавитном порядке для удобства других пользователей; i) сохранение и резервное копирование информации, в системе (см. 10.5.1); j) требования перехода на аварийный режим и требования к таким условиям (см. 14). Дополнительная информация Офисные системы предоставляют возможности более быстрого распространенияи совместного использования коммерческой информации, используя комбинацию: документов, компьютеров, мобильных вычислительных средств, мобильных средств связи, почты, звуковой почты, передачи речевых сигналов вообще, мультимедиа, средства почтовых услуг/средств и факсимильных аппаратов. 10.9 Электронные услуги торговли Цель: Гарантировать защиту служб электронной торговли и их безопасного использования. Нужно учитывать значение безопасности, связанное с использованием услуг торговли, включая сетевые сделки и требования контроля. Должна обеспечиваться целостность и доступность электронной информации с размещением ее в публичных системах. 10.9.1 Электронная торговля Контроль Информация, включенная в процесс электронной торговли и циркулирующая в сетях общего пользования, должна быть защищена от мошеннической деятельности, споров по контракту и несанкционированного раскрытия и модификации. Руководство выполнения Требования по защите информации для электронной торговли должны включить следующее: a) Уровень доверия каждой стороны должны быть тождественны для каждой из сторон, например через установление подлинности; b) процессы авторизации связанные с теми, кто может устанавливать цены, ценные бумаги или подписывать ключевые торговые документы; c) обеспечение, того чтобы торговые партнеры полностью были информированы об их авторизации; ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
d) установление и формирование требований для конфиденциальности, целостности, доказательства доставки и получения ключевых документов, и неотрекаемости от контрактов, например связанных с предложением и договорными процессами; e) уровень ответственности, заключенный в целостности списков официально объявленной цены; f) конфиденциальность любых чувствительных данных или информации; g) конфиденциальность и целостность любых сделок, информации оплаты, поставки, подробности адресов доставки и подтверждение платежей; h) чек оплаты, полученный от заказчика должен соответствовать информации об оплате; i) выбор соответствующей формы урегулированияоплаты, чтобы принять меры против мошенничества; j) уровень по защите информации требует поддержания конфиденциальности и целостности располагаемых сведений; k) избегание потерь или дублирования информации сделок; l) ответственность, связанная с любыми мошенническими сделками; m) требования страхования. Многие из названых выше соображений могут быть выполнены приложениями криптографических средств защиты (см 12.3), принимая внимание соответствие законодательным требованиям (см 15.1, особенно 15.1.6 для законодательства по криптографии). Требования по электронной торговле между торговыми партнерами должны быть оформлены зарегистрированным соглашением, которое обязывает обе стороны, согласился с терминами и условиями торговли, включая подробности авторизации (см. b) выше). Могут быть необходимы другие соглашения с информационной службой и сетевыми провайдерами добавленной стоимости. Системы государственной торговли должны публично предать гласности свои условия для покупателей. Нужно учесть устойчивость к внешним воздействиям к нападению на ведущий узел в сети, использованный для электронной торговли и значений защищённости сетевых взаимодействий, необходимых для выполнения служб электронных торговли (см. 11.4.6). Дополнительная информация Электронная торговля уязвима к множеству сетевых угроз, которые могут привести к мошеннической деятельности, договорному спору, раскрытию или несанкционированной модификации информации. Чтобы избежать риска электронная торговля может использовать безопасные методы аутентификации, например, используя шифрование с открытым ключом и цифровые подписи (см. также 12.3). Также могут использоваться третья сторона, которой доверяют все, где такие службы необходимы16. 10.9.2 Транзакции17 в режиме реального времени Контроль Информация, в транзакциях в режиме реального времени должна быть защищена, чтобы предупредить неполную передачу, неправильную маршрутизацию, несанкционированное изменение, раскрытие, дублирование сообщения или повтор.
16 Примечание: имеется в виду, например, использование международных центров сертификации ключей 17 Примечание: можно понимать и как термин «сделки» ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Руководство выполнения Требования по защите информации для транзакций в режиме реального времени должно включить следующее: a) использование электронных подписей каждой из сторон, включенных в транзакцию; b) все аспекты сделки гарантируют, что: 1) все электронные подписи, вовлеченных в сделку, правильны и проверены; 2) сделка останется конфиденциальной; и 3) конфиденциальность, связанная со всеми включенными сторонами сохранена; c) канал связи между всеми включенными сторонами зашифрован; d) используемые протоколы связи между всеми включенными сторонами защищен; e) обеспечение хранения подробностей (детализации) транзакции в среде, недоступной с публичных сетей, например на запоминающих устройствах, расположенных в Intranet учреждения, но недоступной прямым доступом пользователей Internet; f) обеспечение полной комплексной интегрированной защиты в процессе администрирования сертификата/цифровой подписи и сквозного шифрования, где есть полномочный орган, которому доверяют (например для целей издания и обслуживания цифровой подписи и/или цифрового сертификата). Дополнительная информация Степень принятого средства контроля будет должна быть соразмерной с уровнем связанного риска в каждой форме транзакции в режиме реального времени. Сделки должны быть соответствовать законам, нормам и правилам в юрисдикции, на которой сгенерирована, обработана, закончена, и/или сохранена транзакция. Существует много форм транзакций, которые могут производиться on-line способом, например договорным, финансовым и т.д. 10.9.3 Публично доступная информация Контроль Целостность информации, созданной на публично доступной системе должна быть защищена, чтобы предупредить несанкционированное изменение. Руководство выполнения Программное обеспечение, данные и Дополнительная информация, требующая высокого уровня целостности, созданная на публично доступной системе, должна быть защищена соответствующим механизмом, например цифровой подписью (см. 12.3). Публично доступная система должна быть проверена на предмет наличия уязвимостей и неисправностей до введения общедоступной информации. Прежде, чем информация будет сделана публично доступной, необходимо пройти формальный процесс утверждения. Кроме того, вся входящая информация, извне до ввода в систему должна быть проверена и одобрена. Электронные издательские системы, особенно те, которые допускают обратную связь и прямой ввод информации, должны тщательно управляться так, чтобы: a) информация соответствовала с законодательством защиты данных (см. 15.1.4); b) ввод информации в издательскую систему должен осуществляться полностью, обработка, проводиться полностью и уместным способом; c) критично важная информация будут защищена в течение процесса сбора, обработки и хранения; d) доступ к издательской системе не должен позволять несанкционированный доступ к сетям, с которыми система соединена. Дополнительная информация Информация относительно публично доступной системы, например, информация, относительно web-сервера, доступного через Internet, должна исполнить законы, нормы и правила юрисдикции, в которой система зафиксирована и где происходит торговля или находится собственник(и) ресурса. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Несанкционированное изменение изданной информации может вредить репутации издательского учреждения. 10.10 Мониторинг Цели: Обнаруживать несанкционированные действия обработки информации. Системы должны быть проверены и информационные события по защите информации должны быть зарегистрированы. Фалы журналов оператора и регистрации ошибок должны использоваться для гарантии, что проблемы информационной системы идентифицированы. Учреждение должно исполнить все уместные законодательные требования, применимые к контролю системы и регистрации действий. Система мониторинга должна использоваться, чтобы осуществлять проверку эффективности принятого средства контроля и проверять соответствие модели политики доступа. 10.10.1 Журналы аудита Контроль Должны создаваться и сохранятьсяв течение установленного периода времени журналы аудита, делающие запись пользовательских действий, исключений и информационных событий защиты, чтобы помочь в будущих расследованиях и контроле управления доступом. Руководство выполнения Журналы аудита должны включать, когда необходимо: a) пользовательские идентификаторы; b) Дату, время и подробности важных (ключевых) событий, например вхождение и выход из системы; c) заключение идентичности или размещение, если возможно; d) отчеты успешной и неуспешной попытки обращения к системе; e) отчеты успешных и отвергаемых данных и попыток обращения к другим ресурсам; f) изменения в конфигурации системы; g) использование привилегий; h) использование системных утилит и приложений; i) обратившиеся файлы и виды доступа; j) сетевые адреса и протоколы; k) система индикации аварии, активированная системой контроля доступа; l) активация и деактивация систем защиты информации, типа антивирусных систем и систем обнаружения вторжения. Дополнительная информация Данные журналов аудита могут содержать конфиденциальные персональные данные и вторгающихся. Соответствующие меры по защите конфиденциальности информации должны быть приняты (см. также 15.1.4). Где возможно, администраторы системы не должны иметь разрешения стирать или отключать протоколирование их собственных действий (см. 10.1.3). ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
10.10.2 Использование системы мониторинга Контроль Должны быть установлены процедуры для мониторинга средств обработки информации, а результаты контролирующих действий регулярно рассматриваться. Руководство выполнения Уровень мониторинга необходимого для индивидуальных средств должен быть определен оценкой уровня риска. Организация должна исполнить все уместные законодательные требования, применимые к ее контролю действий. Меры, которые нужно рассматривать, включают: a) санкционированный доступ, включают детали типа: 1) пользовательский идентификатор; 2) дата и время ключевых событий; 3) типы событий; 4) файлы, получившие доступ; 5) использованные программа/утилиты; b) все привилегированные операции, типа: 1) использование привилегированных записей, например супервизор, суперпользователь, администратор; 2) системный запуск и остановка; 3) добавление/разъединение устройства ввода-вывода; c) Попытки несанкционированного доступа, типа: 1) неудавшиеся или отклонённые действия пользователя; 2) неудавшиеся или отвергаемые действия, включающие данные и другие ресурсы; 3) нарушения политики доступа и извещения для сетевых шлюзов и межсетевых экранов; 4) предупреждения от собственных систем детектирования воржений; d) Системные предупреждения или неисправности типа: 1) консольные предупреждения или сообщения; 2) изъятие системного журнала; 3) система индикации аварии контроля сети; 4) система индикации аварий, осуществлённые системой контроля и управления доступом; e) изменения или попытки изменения, системных установок по защите информации и средств контроля. От вовлечённых рисков должно зависеть, как часто рассматриваются результаты контролирующих действий. Факторы риска, которые нужно рассматривать, включают: a) критичность прикладных процессов; b) значение критичности и важности задействованной информации; c) былой опыт проникновения в систему, злоупотребления и частоты используемых эксплуатируемых уязвимостей; d) степень взаимодействия систем (особенно сети общего пользования); e) регистрация дезактивируемого средства. Дополнительная информация Процедуры мониторинга процесса эксплуатации необходимы, чтобы гарантировать, что пользователи, выполняют только те действия, на которые были явно уполномочены. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Обзор журнала включает понимание угрозы, перед которыми стоит система и способы, которыми они могут возникнуть. Примеры событий, которые могли бы требовать дальнейшего исследования в случае нарушения информационной безопасности, см. 13.1.1. 10.10.3 Защита информации журналов Контроль Регистрирующие средства и информация журнала должны быть защищены против вмешательства и несанкционированного доступа. Руководство выполнения Контроль должен быть нацелен на защиту от несанкционированных измененийи регистрации операционных проблем с объектом: a) изменения к типам сообщения, которые зарегистрированы; b) попытки редактирования журналов или их удаления; c) при превышении объема журнала емкости запоминающего устройства, это приводит к отказу записи событий или записи поверх прошедших зарегистрированных событий. Некоторые данные аудита могут требоваться, чтобы быть заархивированными как часть политики сохранения или из-за необходимых условий, чтобы собирать и сохранять доказательство (см. также 13.2.3). Дополнительная информация Системные журналы часто содержат большой объем информации, большая часть которой является посторонней для мониторинга защиты информации. Чтобы помогать идентифицировать значимые события по защите информации и цели контроля, нужно рассмотреть копирование соответствующих типов сообщений автоматически во второй журнал, и-или использованию соответствующих системных утилит или инструментальных средств ревизии отчетности, которые исполнять роль формирования выборки согласно сформированного запросу. Системные журналы должны быть защищены, потому что, если данные в них модифицируются или удаляются, их существование может создавать ложное ощущение безопасности. 10.10.4 Журналы администратора и оператора Контроль Действия администратора системы и системного оператора должны быть зарегистрированы. Руководства выполнения Журналы регистрации должны включать: a) время события (успех или отказ); b) информация относительно события (например, обработанные файлы) или отказ (например ошибка произошла и принято управляющее воздействие); c) какая учетная запись, какой администратор или оператор был вовлечён; d) которые процессы были затронуты. Должны рассматриваться на регулярной основе журналы действий администратора системы и оператора. Дополнительная информация ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Может быть одобрена руководством учреждения система детектирования вторжения, управляемая не системными и сетевыми администраторами18 в качестве системы контроля над системой и действиями системных администраторови администраторов сети. 10.10.5 Журналы неисправностей Контроль Неисправности19 должны быть зарегистрированы, проанализированы и предпринято соответствующее действие. Руководство выполнения Должны быть зарегистрированы ошибки, о которых сообщают пользователи или системные программы, связанными с проблемами обработки информации или системами связи. Должны иметься ясные правила для включения и обработки собранных сообщений о неисправностях: a) анализ данных о неисправности, чтобы гарантировать, что неисправности были удовлетворительно устранены; b) анализ корректирующих мер, чтобы гарантировать, что средство контроля не было скомпрометировано и что полностью авторизированно осуществленное действие. Необходимо убедиться, что регистрация ошибок осуществляется, если эта системная функция допустима. Дополнительная информация Регистрация ошибок и неисправностей может влиять на производительность системы. Такую регистрацию нужно разрешать компетентному персоналу и уровень регистрации необходимого для индивидуальных систем должен быть определен оценкой риска, принимая во внимание ухудшение рабочих характеристик системы. 10.10.6 Синхронизация системных часов Контроль Часы всех систем обработки информации в пределах учреждения или домена безопасности должны быть синхронизированы с источником точного времени. Руководство выполнения Компьютер или средство связи имеет возможность использовать датчик времени, эти часы, должны быть синхронизированы с эталонным стандартом, например Скоординированное Всемирное время (UTC) или поясное время. Так как некоторые часы, как известно, имеют погрешность, должна иметься процедура, которая проверяет и исправляет любое существенное изменение. Правильное интерпретация формата даты/времени важно для гарантии, что метка времени отражает реальную дату/время. Должны быть приняты во внимание локальные особенности (например, переход на летнее время). Дополнительная информация
18 Примечание: имеется в виду использование системы обнаружения вторжения, контроль и настройки которой осуществляет третья сторона или внутренняя служба, например, безопасности, т.е. используется правило распределения обязанностей – один выполняет, второй контролирует его действия. 19 Примечание: имеются в виду ошибки выполнения программ и внешних устройств. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Правильная установка компьютерных часов является важной гарантией точности данных аудита отчетности, которые могут требоваться для исследований или как доказательство в юридических или дисциплинарных проступках. Неточные данные журнала аудита могут препятствовать таким исследованиям и повреждать доверие к такому доказательству. Часы, сопряженные с радиопередачей времени от национальных атомных часов, могут использоваться, как задающий генератор для регистрирующих систем. Сетевой протокол времени может использоваться, чтобы сохранить все серверы в синхронизации с задающим генератором. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
11 Контроль доступа 11.1 Требования бизнеса для контроля доступа Цель: Управлять доступом к информации. Доступ к информации, средства обработки информации и бизнес-процессы должны управляться на основе необходимых требований безопасности информации и бизнеса. Правила контроля доступа должны учитывать политику для распространения информации и авторизации. 11.1.1 Политика контроля доступа Контроль Политика контроля доступа должна быть принята, задокументирована и утверждена на основе требований бизнеса и условий безопасности. Руководство выполнения Правила управления доступом и права для каждого потребителя или группы пользователей должны быть ясно заявлены в политике управления доступом. Управление доступом осуществляется на логическом и физическом уровне (см. также раздел 9) и их нужно рассматривать вместе. Пользователям и провайдерам услуг нужно дать ясную инструкцию бизнес необходимых условий, которые будут выполнены управлением доступом. Политика должна учесть следующее: a) необходимые требования безопасности для индивидуальных бизнес-приложений; b) идентификация всей информации, связанной с бизнес приложениями и рисками касающимися информации; c) политика информационного распространения и авторизации, например необходимость знать принцип и уровни защиты и классификацию информации (см. 7.2); d) взаимодействие управления доступом и информационной политикой различных по классификации систем и сетей; e) обязательства относительно защиты доступа к данным или службам (см. 15.1) уместные законодательству и любым договорным обязательствам; f) стандартный профиль доступа пользователя для общих ролей работы в учреждении; g) управление прав доступа в распределенной и сетевой среде, которая распознаёт все доступные типы подключений; h) разделение ролей управления доступом, например, запрос к доступу, разрешение доступа, управление доступом; i) требования для формальной авторизации запроса на доступ (см. 11.2.1); j) требования для периодического пересмотра управления доступом (см. 11.2.4); k) удаление прав доступа (см. 8.3.3). Дополнительная информация Необходимо предусмотреть следующие меры предосторожности при определении правил управления доступом: a) дифференциация между правилами, которые должны всегда предписываться и рекомендации которые являются дополнительными или условными; b) установление правила, основанные на предпосылке "Все запрещено, ели явно не разрешено", а не более слабое правило "Все разрешено, если явно не запрещено"; c) изменения в информационных метках (см. 7.2) которые инициализированы автоматически средствами обработки информации, и инициализированы по усмотрению потребителя; ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
d) Изменения в пользовательских разрешениях, которые инициализированы автоматически информационной системой и инициализированные администратором; e) правила, которые требуют определенного одобрения перед введением в действие и теми, которые не нуждаются в утверждении. Правила управления доступом должны поддерживаться формальными процедурами и ясно определять обязанности (см., например, 6.1.3, 11.3, 10.4.1, 11.6). 11.2 Администрирование доступа пользователя Цель: Гарантировать доступ к сети уполномоченного пользователя и предупреждать несанкционированный доступ к информационным системам. Должны быть предусмотрены формальные процедуры, чтобы управлять распределением прав доступа к информационным системам и службам. Процедуры должны охватывать все стадии в полном цикле жизни доступа пользователя, от начальной регистрации новых пользователей до заключительной процедуры закрытия регистрационной записи пользователей, тех, кто больше не требуют доступа к системам информации и служб. Необходимо обратить специальное внимание, где следует, чтобы управлять распределением привилегированных прав доступа, которые позволяют пользователям отменять средство контроля системы. 11.2.1 Регистрация пользователя Контроль Должна иметь место формальная регистрация пользователя и процедура де - регистрации на месте для предоставления и отмены доступа ко всем информационным системам и службам. Руководство выполнения Процедура контроль доступа для регистрации потребителя и де - регистрации должна включить: a) использование уникальных пользовательских идентификаторов, для допуска пользователя и ответственности за их действия; использование групповых идентификационных кодов нужно разрешить только, где они необходимы для бизнеса или эксплуатационных причин, а это должно быть утверждено и задокументировано; b) проверка, что потребитель имеет разрешение от владельца системы для использования информационной системы или службы; может также быть применено отдельное согласование от администрации прав доступа; c) проверка, что уровень предоставленного доступа, соответствует цели бизнеса (см. 11.1) и совместим с политикой безопасности учреждения, например, это не идёт на компромисс с разделением режимов работы ( см. 10.1.3); d) предоставление пользователям письменной инструкции с их правами доступа; e) требование от пользователей подписать форму ознакомления с инструкцией, указывающей, что они понимают условия доступа; f) провайдер не должен обеспечивать доступ, пока процедуры авторизации не были закончены; g) поддержание формальной записи всех зарегистрированных лиц, которым разрешено использовать службу (процесс); ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
h) немедленно удалять или блокировать права доступа пользователей, у которых изменились роли, задания или они оставили учреждение; i) периодически осуществлять проверку для удаления или блокировки, излишние идентификаторы и учётные записи (см. 11.2.4); j) обеспечение того, чтобы излишние идентификаторы не были выданы пользователям. Дополнительная информация Нужно установить роли доступа пользователей, основанные на необходимых условиях бизнеса, для суммирования множество прав доступа в пользовательские профили доступа. Запросы о доступе и анализ (см. 11.2.4) проще администрировать на уровне ролей, чем на уровне специфических прав. В контрактах персонала и контрактах на обслуживание нужно включить пункты, которые определяют санкции, если предпринят персоналом или сервисными агентами несанкционированный доступ (см. также 6.1.5, 8.1.3 и 8.2.3). 11.2.2 Управление привилегиями Контроль Распределением и использованием привилегий необходимо управлять и ограничивать. Руководство выполнения Многопользовательские системы, которые требуют повышенного внимания защиты от несанкционированного доступа, должны иметь распределение привилегий, управляемых через формальный процесс авторизации. Необходимо рассматривать следующие меры: a) привилегии доступа, связанные с каждым системным продуктом, например операционная система, система контроля баз данных, каждое приложение и пользователи, которым они должны быть распределены, должны быть идентифицированы; b) привилегии должны быть распределены пользователям на основании принципа необходимости использования и на основании «случай за случаем» в соответствии с политикой управления доступом (11.1.1), то есть минимальным требованием для их функциональной роли только когда необходимо; c) должны быть утверждены процессы авторизации и записи всех распределенных привилегий. Привилегии нельзя предоставлять, пока процесс авторизации не закончен; d) должны быть внедрены разработка и использование системных процедур, чтобы избежать надобности предоставления привилегиипотребителям; e) должны быть утверждены разработка и использование программ, которые выполняются без привилегии; f) Привилегии должны быть назначены различным идентификаторам пользователя, которые он использует для нормального бизнеса. Дополнительная информация Неуместное использование системных привилегий администрирования (любая деталь или средство информационной системы, которое даёт возможность пользователю отменить системный или прикладной контроль) может быть главный предрасполагающим фактором отказа или нарушениям работоспособности системы. 11.2.3 Управление паролями пользователя Контроль Распределение паролей должно контролироваться через формальный процесс управления. Руководство выполнения ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Процесс должен включить следующие необходимые условия: a) пользователи должны подписать форму ознакомления с инструкцией, о сохранении конфиденциальных персональных паролях и сохранении паролей группы исключительно в пределах членов группы; эта подписанная инструкция должна быть включена в постановление и условия договора занятости (см. 8.1.3); b) когда пользователи обслуживают собственные пароли, то это соединение необходимо защитить первоначально безопасным временным паролем (см. 11.3.1), который они впоследствии обязаны изменить немедленно; c) установить процедуры, чтобы проверить тождество пользователя до выдачи нового или замены временного пароля; d) временные пароли нужно выдать потребителям безопасным способом; использования третей стороны или незащищенных сообщений электронной почты (открытого текста) нужно избежать; e) временные пароли должны быть уникальны для каждого пользователя и не должны быть легкоугадываемыми; f) пользователи должны подтвердить факт получения паролей; g) пароли никогда не должны сохраняться в компьютерных системах в незащищенной форме; h) заданные по умолчанию пароли фирмы-производителя, должны быть изменены после инсталляции систем или программного обеспечения. Дополнительная информация Пароли - общие средства подтверждения (проверки) пользовательского ____тождества прежде, чем дается доступ к информационной системе или службе согласно авторизации пользователя. Могут применяться в соответствующих случаях другие технологии для идентификации и аутентификации пользователя, типа биометрии, например проверка отпечатков пальцев, верификация подписи, использование аппаратных маркеров, например smart-карточки с интегральной схемой, включающей микропроцессор. 11.2.4 Обзор пользовательских прав доступа Контроль Администрация должна с регулярными интервалами пересматривать объем прав доступа пользователей, использую формальную процедуру. Руководство выполнения При пересмотре объема прав доступа нужно применять следующие рекомендации: a) должны пересматриваться регулярно права доступа пользователей, например через 6 месяцев и после любых изменений, типа повышения-понижения в должности или прекращения занятости (см. 11.2.1); b) должны быть рассмотрены и перераспределены права доступа пользователей при перемещении от одной должности до другой в пределах того же самого учреждения; c) должна пересматриваться более часто, например, с периодом 3 месяца авторизация для специальных привилегированных прав доступа (см. 11.2.2) d) должны проверяться регулярно распределения привилегий, чтобы гарантировать, что не были получены неправомочные привилегии; e) изменения, в записях о привилегии, должен быть задокументированы для периодической проверки и анализа. Дополнительная информация Необходимо регулярно делать пересмотр прав доступа пользователей для поддержки эффективного управления доступом к данным и информационным службам. 11.3 Обязанности пользователя ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Цель: предупреждать несанкционированный доступ пользователей и компрометацию или воровство средств обработки информации и информации. Объединение усилий всех авторизированных пользователей является необходимым для эффективной безопасности. Пользователи должны знать свои обязанности для поддержания эффективного управления доступом, особенно относительно использование паролей и защите пользовательского оборудования. Должны быть реализованы политика пустого стола и чистого экрана, чтобы снизить риск несанкционированного доступа или ущерба документам, носителям информации и средствам обработки информации. 11.3.1 Использование пароля Контроль Нужно требовать от пользователей соблюдения кодекса правил по хорошей защите информации при выборе и использовании паролей. Руководство выполнения Все пользователи должно принять к сведению: a) сохранять пароли в секрете; b) избежать сохранять пароли (например, на бумаге, программном файле или мобильном устройстве паролей), если это не гарантирует надежной сохранности пароля и метод хранения не утвержден; c) всякий раз, когда имеется компрометация системы или пароля, пароли необходимо изменять; d) выбрать качественные пароли с достаточной минимальной длиной, которые: 1) легко запомнить; 2) не основаны на том, что можно легко вычислить или получать, используя информацию, связанную с владельцем пароля, например, номером телефона, датой рождения и т.д.; 3) не уязвимы к словарным атакам (то есть, не состоят слов, включенных в словари); 4) свободны от последовательных идентичных знаков и не состоят полностью из числовых или буквенных звеньев. e) регулярно изменять пароли или на основании числа доступов (пароли для привилегированных учётных записей должны меняться более часто, чем обычные пароли), и избегать повторно используемых или циклически повторяемых старых паролей; f) изменять временные пароли при первом вхождении; g) не включать пароли ни в какой автоматизированный процесс вхождения в систему, например сохраненный в макрокоманде или функциональном ключе; h) не использовать коллективно индивидуальные пользовательские пароли; i) не использовать тот же самый пароль для бизнеса и некоммерческих целей. Если пользователи должны обращаться к нескольким службам, системам или платформам и требуется, поддержать несколько отдельных паролей, они должны принять к сведению, что могут использовать единственный качественный пароль (см. d) выше) для всех служб, при уверенности, что был установлен разумный уровень по защитеинформации для хранения пароля в пределах каждой службы, системы или платформы. Дополнительная информация Администраторы службы пользовательской поддержки, имеющей дело с потерянными или забытыми паролями обязаны предпринимать специальную предосторожность, поскольку этот процесс может также быть средством атаки на парольную систему. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
11.3.2 Автоматическое оборудование20 пользователя Контроль Пользователи должны убедиться, что автоматическое оборудование имеет соответствующую защиту. Руководство выполнения Все пользователи должны знать необходимые требования информационной безопасности и процедуры по защите информации в автоматическом оборудовании, также как и свои обязанности для осуществления такой защиты. Пользователи должны принять к сведению: a) прекратить активные сеансы при окончании работы, если они не могут быть защищены соответствующим блокирующим механизмом, например защищенное паролем приложение сберегающее экран; b) завершить сеанс работы в мэйнфрейме, сервере и служебном персональном компьютере, когда сеанс закончен (то есть не только выключить экран персонального компьютера или терминал); c) защитить персональные компьютеры или терминалы от несанкционированного использования блокировкой или эквивалентным управлением, например доступ по паролю, когда средство не используется (см. также 11.3.3). Дополнительная информация Оборудование, установленное у потребителя, например АРМ или файловые серверы, может требовать определенной защиты от несанкционированного доступа, когда оставляется без присмотра в течение длительного периода. 11.3.3 Политика чистого стола и очистки экрана Контроль Должна быть принята политика чистого стола для документов, съемных носителей данных и политика очистки экрана для средств обработки информации. Руководство выполнения Политика чистого стола для документов и съемных носителей данных и политика очистки экрана для средств обработки информации должна учитывать классификации информации (см. 7.2), юридические и договорные требования (см. 15.1), и соответствующиериски и офисные порядки учреждения. Нужно учесть следующие рекомендации: a) неиспользуемая критично важная или критичная бизнес информация, например, на бумаге или на электронных носителях данных, должна надежно запираться (идеально в сейфе или шкафе или других формах оборудования по защите информации), особенно, когда офис пустует; b) не должны быть оставлены компьютеры и терминалы, когда остается без присмотра, без предварительного выходы из системы, без защиты экранной заставкой или без запорного механизма клавиатуры, управляемых паролем, токеном21 или другой техническим средством аутентификации
20 Или оснастка 21 Токен – небольшое по размерам физическое устройство, подключаемое, как правило, через USB-интерфейс к персональному компьютеру или серверу, содержащее в своём составе встроенный микропроцессор, память и операционную систему. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
пользователя; должна осуществляться защита замками, паролями или другими средством управления; c) входящая и исходящая почта и автоматические факсимильные аппараты должны быть защищены; d) несанкционированное использование фотокопировальных устройств и другой технологии репродуцирования (например, сканирующих устройств, цифровых камер) должно быть запрещено; e) документы, содержащие критично важную или секретную информацию, должны быть удалены из принтеров немедленно. Дополнительная информация Политика чистого стола для документов, съемных носителей данных и очистки экрана для средств обработки информации уменьшает риски несанкционированного доступа, убытки и повреждение информации в течение дня и вне рабочего времени. Сейфы или другие формы безопасного хранения могут также защитить информацию, сохраненную там против бедствий типа огня, землетрясения, затопления или взрыва. Рассмотрите также возможность использования принтеров с функцией ввода пин-кода, так что инициаторы процесса - единственные, кто могут получить их печать, и только при нахождении рядом с принтером. 11.4 Управление доступом к сети Цель: Предупреждать ____несанкционированный доступ к сетевым службам. Должен управляться доступ к внутренним и внешним сетевым службам. Пользовательский доступ к сетям и сетевым службам не должен ставить под угрозу защиту сети, гарантируя: a) соответствующее размещение интерфейсов между сетью учреждения и сетями, принадлежащими другим учреждениям, сетям общего пользования; b) применение для пользователей и оборудования приспособленных механизмов аутентификации; c) предписанное управление пользовательским доступом к информационным службам. 11.4.1 Политика использования сетевых служб Контроль Пользователи должны обеспечиваться доступом только к тем услугам (службам), на которые они определенно уполномочены. Руководство выполнения Должна быть сформулирована политика относительно использования сетей и сетевых служб. Эта политика должна охватывать: a) сети и сетевые службы, к которым разрешен доступ; b) процедуры авторизации для определения, кому позволяют обратиться, к каким сетям или службам в сетевой структуре; c) административный контроль и процедуры для защиты доступа к сетевым подключениям и сетевым службам; d) средства, используемые для доступа к сети и сетевым службам (например, условия для разрешения модемной связи для доступа к поставщику услуг Internet или удаленной системе). Политика использования сетевых служб должна быть совместима с политикой контроля доступа (см. 11.1). Дополнительная информация Несанкционированные и опасные подключения к сетевым службам могут воздействовать на целое учреждение. Контроль над ними особенно важен для сетевых подключений с критичными или критично важными бизнес приложениями или для пользователей в помещениях с высокой степенью ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
риска, например в общественных или вне сферы администрирования защиты информации учреждения и контроля. 11.4.2 Аутентификация пользователя для внешних соединений Контроль Приспособьте методы опознавания, которые, должны использоваться для контроля доступа удаленных пользователей. Руководство выполнения Аутентификация удаленных пользователей может быть достигнута использованием методики основанной на криптографии, аппаратных токенах или на протоколе с запросом и подтверждением 22. Могут быть различные реализации таких методов в конкретных решениях виртуальных ведомственных частных сетей (VPN). Могут также использоваться выделенные арендуемые линии для обеспечения гарантии источника. Процедуры обратного вызова и управления, например, используя модемы обратного вызова, могут обеспечивать защиту против несанкционированных и нежелательных подключений к средствам обработки информации учреждения. Этот тип управления удостоверяет пользователей, пытающихся установить подключение к сети учреждения от удаленных расположений. При использовании этого типа контроля, учреждение не должно использовать сетевые службы, которые включают пересылку запроса, или, если они делают, они должны отключить использование таких средств, чтобы избежать уязвимостей, связанных с пересылкой запроса. Запрос обратного вызова, должен гарантировать, что фактическое размыкание соединения происходит на стороне учреждения. Иначе удаленный пользователь может не вешать трубку и притворится, что произошел запрос обратного вызова. Процедуры обратного вызова и соответствующие средства управления должны быть полностью проверены на эту возможность. Аутентификация узла может служить альтернативным средством подтверждения групп удаленных пользователей, связанных с безопасным совместно используемым компьютерным средством. Для аутентификации узла могут использоваться криптографические методы, основанные на цифровых сертификатах. Это часть некоторых базовых решений VPN. Должно быть реализовано дополнительное опознавательное средство контроля, чтобы управлять доступом к беспроводным сетям. В частности необходима особая осторожность при выборе средства управления для беспроводных сетей из-за больших возможностей необнаруженного перехвата и вставки в сетевой трафик. Дополнительная информация Внешние подключения обеспечивают потенциал для несанкционированного доступа к коммерческой информации, например доступом методами модемной связи. Есть различные типы методов аутентификации, некоторые из них обеспечивают больший уровень безопасности, чем другие, например методы, основанные на использовании криптографических методов могут обеспечивать строгую аутентификацию. Важно основываясь на оценке риска установить необходимой уровень защиты. Это необходимо для выбора соответствующего метода аутентификации. Средство для автоматического подключения к удалённым компьютерам может также служить лазейкой для несанкционированного доступа к бизнес приложению. Это особенно важно, если при подключении используется сеть, находящаяся вне управления безопасностью учреждения.
22 Защищенная процедура аутентификации, при которой сервер для контроля за доступом к сетевым ресурсам использует алгоритмы запросно-ответного типа и систему безопасности ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
11.4.3 Идентификация оборудования в сети Контроль Должна применяться автоматическая идентификация оборудования как средство проверки подлинности подключений от оборудования из определённого местоположения. Руководство выполнения Может использоваться идентификация оборудования, если важно, что сообщение может быть инициализировано только из определенного внешнего помещения или оборудования. Может использоваться внутренний идентификатор или приложенный к оборудованию для индикации разрешено ли этому оборудованию соединиться с сетью. Эти идентификаторы должны ясно указать с которой сетью оборудованию разрешено соединиться, если существует больше чем одна сеть и особенно, если эти сети имеют отличающуюся защищённость. Может быть необходимым рассмотреть вопрос физической защиты оборудования, чтобы поддержать безопасность идентификатора оборудования. Дополнительная информация Это управление может быть дополнено с другими методами, чтобы аутентифицировать потребителя оборудования (см. 11.4.2). Может быть применена идентификация оборудования дополнительно к проверке пользователя. 11.4.4 Дистанционная диагностика и конфигурационная защита порта Контроль Должен управляться физический и логический доступ к диагностическим и конфигурационным портам. Руководство выполнения Потенциальный контроль доступа к диагностическим и конфигурационным портам включает использование фиксатора клавиш и процедур поддержки, чтобы управлять физическим доступом к порту. Пример для такой процедуры поддержки должен гарантировать, что диагностические и конфигурационные порты доступны только утверждённым руководством администраторам аппаратных средств/программного обеспечения вычислительного центра и персоналу поддержки. Порты, службы и подобные средства, установленные на компьютерном или сетевом средстве, которые специально не требуются для бизнес функциональных возможностей, должны быть отключены или удалены. Дополнительная информация Много компьютерных систем, сетевых систем и систем связи установлены с дистанционной диагностикой или конфигурационным средством для использования инженерами по техническому обслуживанию и ремонту. Если эти диагностические порты не защищены, эти средства обеспечивают дистанционный несанкционированный доступ. 11.4.5 Разделение в сетях Контроль Группы информационных служб, пользователей и информационных систем должны быть разделены на сетях. Руководство выполнения ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Один из методов организации безопасности больших сетей состоит в том, чтобы разделить их на отдельные логические сетевые домены, например внутренние сетевые домены учреждения и внешние сетевые домены, каждый из которых защищен определенным периметром безопасности. В различных логических сетевых доменах может быть применена градация средств безопасности, чтобы далее выделить сетевые среды защиты, например, публично доступные системы, внутренние сети и критичные активы. Домены должны быть определены на основе градаций риска и различных необходимых требований безопасности в пределах каждого из доменов. Такой сетевой периметр может быть реализован, использованием безопасного шлюза между этими двумя сетями, которые будут связаны, чтобы управлять доступом и информационным потоком между этими двумя доменами. Этот шлюз должен быть сконфигурирован, чтобы фильтровать трафик между этими доменами (см. 11.4.6 и 11.4.7) и блокировать несанкционированный доступ в соответствии с политикой контроля доступа учреждения (см 11.1). Пример этого типа шлюза - то, что обычно упоминается, как межсетевой экран. Другой метод разделения отдельных логических доменов состоит в том, чтобы ограничить доступ к сети, используя виртуальные ведомственные частные сети для групп пользователей в пределах учреждения. Сети могут также быть выделены с использованием сетевых функциональных возможностей устройства, например IP коммутация. Тогда могут быть реализованы отдельные домены, управляя сетевыми потоками данных, используя возможности распределения/переключения, типа списков контроля доступа. Критерии для разделения сетей в домены должны быть основаны на политике контроля доступа и требованиях доступа (см. 10.1) и также принимая во внимание относительную стоимость и производительность при выполнении соединения соответствующей сетевой маршрутизации или межсетевой технологии (см. 11.4.6 и 11.4.7). Кроме того, разделение сетей должно быть основано на значении и классификации защищаемой или обработанной внутри сети информации, уровнях доверия, сферах деятельности, чтобы снизить вероятность возникновения сервисного сбоя. Необходимо разделение беспроводных сетей от внутренних и ведомственных частных сетей. Поскольку периметры беспроводных сетей чётко не описаны, в таких случаях должна быть проведена оценка риска по идентифицированным средствам управления (например, строгая аутентификация, криптографические методы аутентификации и частотная селекция) для осуществления сетевого разделения. Дополнительная информация Сети все более и более простираются вне традиционных границ организации, поскольку формируются бизнес партнёрства, что может требовать взаимосвязи или совместного использования сетевых средств и средств обработки информации. Это может увеличивать риск несанкционированногодоступа к существующим информационным системам, которые используют сеть, часть из которых может требовать защиты от других сетевых пользователей из-за их чувствительности или критичности. 11.4.6 Управление сетевыми подключениями Контроль Возможности пользователей по соединению с публичной сетью, особенно простирающийся вне границ учреждения, должны быть ограничены в соответствии с политикой управления доступом и необходимыми требованиями бизнес-приложений (см. 11.1). Руководство выполнения ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Права пользователей по доступу к сети должны быть зафиксированы и модифицироваться как требует политика контроля доступа (см. 11.1.1). Возможность подключения пользователей может быть ограничена сетевыми шлюзами, которые фильтруют трафик посредством использования предопределенных таблиц или правил. Примеры приложений, к которым должны быть применены ограничения: a) передача сообщений, например электронная почта; b) передача файла; c) интерактивный доступ; d) доступ приложения. Должно применяться права доступа к сети на некоторое время дня или даты. Дополнительная информация Может требоваться политика управления доступом к публичным сетям, особенно входящих в организационные границы учреждения, чтобы ограничить возможность подключения пользователей. 11.4.7 Управление сетевой маршрутизацией Контроль Должно быть реализовано управление средствами маршрутизации для сетей, чтобы гарантировать, что компьютерные связи и информационные потоки не нарушают политику управления доступом бизнес-приложений. Руководство выполнения Управление средствами маршрутизации должно быть основано на проверяющих механизмах реального источника и адреса назначения. Могут использоваться шлюзы защиты, для проверки правильности адреса источника и адреса назначения во внутренних и внешних средствах управления сетью, если используются прокси-сервер и/или технологии трансляции сетевого адреса. Дизайнер сети должен знать силу и недостатки любых развертываемых механизмов. Требования для управления сетевой маршрутизациейдолжны быть основаны на политике управления доступом (см. 11.1). Дополнительная информация Публичные сети, особенно простирающиеся вне границ учреждения, могут требовать дополнительных средств управления маршрутизацией. Это особенно применяется там, где сети являются общими для пользователей с третьей стороной (вне организации). 11.5 Контроль доступа к операционной системе Цель: предупреждать несанкционированный доступ к операционным системам. Должны использоваться средства защиты, для ограничения доступа к операционным системам уполномоченными пользователями. Средства должны быть способны к следующему: a) подтверждение уполномоченных пользователей, в соответствии с определенной политикой управления доступом; b) регистрация успешных и неудачных попыток аутентификации; c) регистрация использования специальных системных привилегий; d) включение системы индикации тревоги, когда нарушены политики безопасности системы; e) обеспечение необходимых мер для аутентификации; ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
f) ограничивайте время подключения пользователей, где пресуще. 11.5.1 Безопасные процедуры вхождения в систему Контроль Доступ к операционным системам должен управляться безопасной процедурой вхождения. Руководство выполнения Должна быть назначена процедура регистрации в операционной системе, чтобы минимизировать возможность несанкционированного доступа. Поэтому процедура вхождения должна открывать минимум информации относительно системы, чтобы не давать несанкционированному пользователю любую ненужную помощь. Хорошая процедура вхождения должна: a) не включать индикации загрузки системы или идентификаторы приложения, пока процесс вхождения не был успешно закончен; b) показать общее предупреждение, что к компьютеру могут обратиться только уполномоченные пользователи; c) не показывать сообщения справки в течение процедуры вхождения, которая помогла бы помочь несанкционированному пользователю; d) проверить правильность информации для вхождения в систему только при заполнении всех входных данных. Если возникает условие ошибки, система не должна указывать, которая часть данных является правильной или неправильной; e) ограничить количество неудачного попыток вхождения, например три попытки, и предусмотреть: 1) регистрация неудачной и успешной попытки; 2) принудительное создание времени задержки прежде, чем позволяется дальнейшая попытка вхождения или отклонения любой дальнейшая попытки без определенной авторизации; 3) разъединение подключений от канала связи; 4) посылка сигнального сообщения на системную консоль, если достигнуто максимальное число попыток вхождения; 5) установка числа неповторяемости паролей вместе с требованием к минимальной длине пароля и определение их значения в защищаемой системе; f) ограничение максимального и минимального предельный срок исполнения для процедуры входа в систему. Если временной интервал нарушен, то система должна закончить процедуру регистрации; g) показывать следующую информацию относительно обеспечения успешного вхождения: 1) дата и время предыдущего успешного вхождения; 2) подробности любой неудачной попытки вхождения начиная с последнего успешного вхождения; h) не отображать вводимый пароль или скрывать вводимый пароль символами; i) не передавать пароли в открытом виде по сети. Дополнительная информация Если пароли переданы в открытом виде в течение сеанса вхождения по сети, они могут быть зафиксированы сетевой программой «сниффером»23. 11.5.2 Идентификация и аутентификация пользователя Контроль
23 Программа для «прослушивания» сетевого соединения на уровне пакетов ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Все пользователи должны иметь уникальный идентификатор (ID пользователя) только для персонального использования и в соответствии с выбранной опознавательной методикой должно быть доказано требуемое тождество пользователя. Руководство выполнения Должно быть применено средство управления для любого типа пользователей (включая персонал технической поддержки, операторов, сетевых администраторов, системные программистов, и администраторов баз данных). Идентификационные номера пользователя должны использоваться для прослеживания действия подотчётного индивидуума. Регулярные действия пользователей не должны выполняться от привилегированного учетного номера. В исключительных обстоятельствах, где имеется прямая деловая выгода, может использоваться общий идентификатор для группы пользователей или определенной работы. Должно быть задокументировано для таких случаев одобрение управлением учреждения. Может потребоваться дополнительное средство контроля, чтобы поддерживать ответственность. Могут быть разрешены универсальные идентификаторы для индивидуального использования где доступные функции, действия, проведенные с использованием идентификатора не должны быть прослежены (например, доступ только для чтения) или где имеется другое средство управления (например, пароль для универсального идентификатора, созданный и привязанный при регистрации такого образца только для одного носителя). В тех случаях, где требуются строгая аутентификация и идентификация, должны использоваться альтернатива к паролям типа криптографических средств, смарт-карточек, токенов или биометрические средства. Дополнительная информация Пароли (см. также 11.3.1 и 11.5.3) - очень общий способ обеспечить идентификацию и аутентификацию, основанную на тайне, которую знает только пользователь. То же самое может также быть достигнуто криптографическими средствами и протоколами аутентификации. Строгость аутентификации и идентификации пользователя должна соответствовать чувствительности информации, к которой будет обращение. Объекты типа токенов памяти или смарт-карточек, которыми обладают пользователи, могут также использоваться для аутентификации и идентификации. Могут также использоваться для установления тождества персоны технологии биометрической идентификации, которые используют уникальные характеристики или атрибуты индивидуума. Комбинация технологий и механизмов связанных безопасным образом приведет к более сильной аутентификации. 11.5.3 Система управления паролями Контроль Системы для управления паролями должны быть интерактивны и должны гарантировать качественные пароли. Руководство выполнения Система управления паролями должна: a) предписывать использование индивидуальных пользовательских идентификаторов и паролей, чтобы поддержать ответственность; b) позволить потребителям выбирать, изменять их собственные пароли и включать процедуру подтверждения, чтобы учесть ошибок на входе; c) обеспечить выбор качественных паролей (см. 11.3.1); ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
d) обеспечить изменения пароля (см. 11.3.1); e) заставлять пользователей изменить временные пароли в первом вхождении (см. 11.2.3); f) создать регистрацию предыдущих паролей потребителя и запрещать повторное их использование; g) не показывают пароли на экране при вводе; h) файлы паролей располагать отдельно от данных прикладной системы; i) хранить и передавать пароли в защищенной (например, зашифрованной или хешированной) форме. Дополнительная информация Пароли - одно из основных средств подтверждения пользовательских полномочий, чтобы обратиться к вычислительном центру. Некоторые приложения требуют пароль пользователя, которые были назначены принудительно; в таких случаях пункты b), d) и e) или вышеупомянутого руководства не применяются. В большинстве случаев пароли выбираются и вводятся пользователями. Смотри раздел 11.3.1 руководства по использованию паролей. 11.5.4 Использование системных утилит Контроль Использование утилит, которые могли бы быть способны к отмене системного контроля и управления прикладными процессами, должно быть ограничено и содержаться под строгим надзором. Руководство выполнения Нужно рассмотреть следующие рекомендации для использования системных утилит: a) использование для системных утилит: идентификации, аутентификации и процедур авторизации; b) отделение системных утилит от приложений программного обеспечения; c) ограничение использования системных утилит минимальным практическим числом доверенных авторизованных пользователей (см. также 11.2.2); d) авторизацию для специального использования утилит систем; e) ограничение доступности системных утилит, например на время авторизованного изменения; f) регистрация использования всех системных утилит; g) определение и документирование уровней авторизации для системных утилит; h) удаление или отключение всего ненужного программного обеспечения утилит и системного программного обеспечения; i) недоступность системных утилит пользователям, имеющим доступ к приложениям на системах, где требуется разделение режимов работы. Дополнительная информация Большинство компьютерных инсталляций имеет одну или более программ системных утилит, которые могли бы быть способны к отмене управления системой и прикладными процессами. 11.5.5 Блокировка сеанса по времени Контроль Неактивные сеансы должны быть закрыты после определенного периода бездействия. Руководство выполнения ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Средство блокировки времени должно очистить экран сеанса и также, возможно позже, закрыть, приложение и сетевые сеансы после определенного периода бездействия. Время задержки блокировки должны быть адекватны угрозам безопасности сферы деятельности, классификации обрабатываемой информации и используемых приложений, а так же рисков, связанных с пользователями оснащения. Может быть предусмотрена в некоторых системах ограниченная форма средств блокировки времени, которая очищает экран и предотвращает несанкционированный доступ, но не закрывает приложение или сетевые сеансы. Дополнительная информация Это управление является особенно важным при высокой степени риска, которое включают публичные или внешние сферы вне зоны управления защитой в учреждении. Сеансы должны быть закрыты, чтобы предупредить доступ несанкционированных лиц и атак типа отказа в обслуживании. 11.5.6 Ограничение на время соединения Контроль Для приложений высокой степени риска с целью обеспечения дополнительной безопасности должны использоваться ограничения на время соединения. Руководство выполнения Средство управления временем на соединения должно применяться для чувствительных компьютерных приложений, особенно в областях с высокой степенью риска, например публичных или внешних областях, которые не управляются системой безопасности учреждения. Примеры таких ограничений включают: a) использование предопределенных интервалов времени, например, для передач командного файла или регулярных интерактивных сеансов короткой продолжительности; b) ограничение времени на соединение на нормальные рабочие дни, если не имеется никаких требований по сверхурочной работе или расширений сверхурочного времени; c) рассмотрение обновления аутентификация в установленные интервалы времени. Дополнительная информация Ограниченный период, в течение которого позволяются подключения к вычислительным центрам сужает окно возможностей несанкционированного доступа. Ограничение продолжительности активных сеансов препятствует пользователям удерживать открытый сеанс, чтобы предотвратить процедуру обновления аутентификации. 11.6 Прикладное и информационное управление доступом Цель: Предотвратить несанкционированный доступ к информации, которая содержится в прикладных системах. Средства защита должна использоваться для ограничения доступа в пределах прикладных систем и вне них. Уполномоченным пользователям должен быть ограничен логический доступ к прикладному программному обеспечению и информации. Прикладные системы должны: a) управлять доступом к информации пользователя и функциям прикладной системы в соответствии с утверждённой политикой управления доступом; b) обеспечить защиту программного обеспечения операционной системы и приложения от: несанкционированного доступа с помощью любой утилиты, вредоносного программного обеспечения, которое способно к отмене, обходу системного и прикладного управления; ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
c) не ставить под угрозу другие системы, с которыми информационные ресурсы являются общими. 11.6.1 Ограничение доступа к информации Контроль Доступ пользователей и персонала сопровождения к информации и функциям прикладной системы должны быть ограничен в соответствии с утверждённой политикой управления доступом. Руководство выполнения Ограничения доступа должно быть основанона индивидуальных требованиях бизнеса. Политика управления доступа должна также быть совместима с политикой доступа учреждения (см. разд. 11.1). Применение следующих рекомендаций поможет создать требования ограничения доступа: a) для управления доступом к функциям прикладной системы обеспечить меню; b) управление правами доступа пользователей, например чтение, запись, удаление и выполнение; c) управление правами доступа других приложений; d) обеспечить выходные данные прикладных систем, обрабатывающих чувствительную информацию только той информацией, которая уместна для использования и отправки выходных данных только на авторизованные терминалы и помещения; это должно включать периодический анализ таких выходных данных, чтобы гарантировать, что удалена не избыточная информация. 11.6.2 Изоляция чувствительных систем Контроль Чувствительные системы должны иметь специализированную (изолированную) вычислительную среду. Руководство выполнения Необходимо учесть следующие позиции для изоляции чувствительной системы: a) чувствительность прикладной системы должна быть четко идентифицирована и задокументирована собственником (см. 7.1.2); b) собственником чувствительного приложения должны быть идентифицированы и приняты соответствующие риски когда чувствительное приложение выполняться в общедоступной среде, прикладных системах, с которыми совместно используются ресурсы. Дополнительная информация Некоторые прикладные системы являются достаточно чувствительными к потенциальному ущербу и требуют специального обращения. Чувствительность выражает пожелание, что прикладная система: a) должна работать на выделенном компьютере; или b) должна использовать совместные ресурсы с системными ресурсами, которым доверяет. Изоляция могла быть достигнута, используя физические или логические методы (см. также 11.4.5). ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
11.7 Мобильная вычислительная техника и дистанционная работа 24 Цель: Гарантировать информационную безопасность при проведении работы на мобильной вычислительной технике и дистанционной работе. Необходимая защита должна быть соразмерна с рисками этих способов работы работ. При использовании мобильных компьютеров необходимо учитывать риски работ в незащищенной среде должны и применять соответствующие средства защиты. В случае работы с учреждением из удаленного помещения учреждение должно обеспечить: подготовку помещений для этой работы и безопасность этих помещений. 11.7.1 Вычисления на мобильных средствах и связь Контроль Должна применяться формальная политика и утверждены соответствующие меры безопасности, чтобы защитить от рисков использования мобильных средств вычислений и средств связи. Руководство выполнения При использовании мобильных вычислительных средств и средств связи, например портативных компьютеров, карманных компьютеров, портативных ЭВМ, smart-карт, мобильных телефонов должны приняться специальные меры предосторожности, чтобы не была скомпрометирована коммерческая информация. Политика использования мобильных вычислительных средств должна учесть риски работы с мобильным вычислительным оборудованием в незащищенных средах. Политика использования мобильных вычислительных средств должна включить требования для физической защиты, управления доступом, криптографических методов, резервное копирование и защиты от вирусов25. Эта политика должна также включить правила и рекомендации относительно подсоединения мобильных вычислительных средств к сетям и руководство использования этих средств в общественных местах. Должны применяться меры предосторожности при использовании мобильных вычислительных средств в общественных местах, комнатах встреч и других незащищенных областей вне учреждения. Чтобы избежать несанкционированного доступа или раскрытия информации, сохраненной и обработанной этими средствами, должны быть использованы например, криптографические методы защита (см. 12.3). Пользователи мобильных вычислительных средств в общественных местах должны соблюдать осторожность, чтобы избежать риска просмотра обрабатываемой информации посторонними лицами. Должны использоваться и постоянно актуализироваться процедуры против вредоносного программного обеспечения (см. 10.4). Необходимо регулярно проводить резервное копирование чувствительной коммерческой информации. Если оборудование доступно, то необходимо запустить быстрое и простое резервное копирование. Этому резервному копированию нужно обеспечить адекватную защиту против, например, воровства или потерь информации. Соответствующую защиту нужно обеспечить при использовании мобильных средств, соединенных с сетями. Удаленный доступ к коммерческой информации внутри сети общего пользования, использующей мобильные вычислительные средства должен происходить только после
24 Нужно понимать как: дистанционная [виртуальная] работа (работа вне офиса компании (дома, в другом городе и др.) с использованием Интернета или иных средств связи 25 Нужно понимать «защиту от вредоносных кодов и программ» ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
успешной идентификации и аутентификации, и с соответствующим механизмом управления доступа в учреждении (см. 11.4). Мобильные вычислительные средства должны также быть физически защищены против воровства особенно при оставлении их в автомобилях и других формах транспорта, гостиничных номерах, центрах конференции и местах встреч. Должна быть установлена для случаев воровства или утери мобильных вычислительных средств определенная процедура, принимающая во внимание юридические, страховые и другие необходимые требования безопасности учреждения. Оборудование, обрабатывающее важную, чувствительную или критично важную коммерческую информацию не должно быть оставлено без присмотра и где возможно должно быть физически блокировано или должны использоваться специальные блокировки для обеспечения безопасности оборудования (см. 9.2.5). Должны проводиться тренинги персонала, использующего мобильное вычислительные устройства, чтобы поднять их понимание на дополнительных рисках следующих из этого способа работы и контроль, который должен быть реализован. Дополнительная информация Мобильныевычислительные средства при подключении с беспроводным соединением к сети подобны другим типам сетевого подключения, но имеют важные различия, которые нужно учитывать при управлении идентификацией. Типовые различия – 1) некоторые беспроводные протоколы защиты давно разрабатывались и имеют неустранимые уязвимости и 2) резервное копирование информации, на мобильных компьютерах не может проводиться из- за ограниченной ширины полосы частот связи сети и/или потому что мобильные вычислительные средства не может быть соединены во время, когда спланировано резервное копирование информации. 11.7.2 Дистанционная работа Должны быть разработаны и реализованы политика, оперативное планирование и процедуры для действий дистанционной работы. Руководство выполнения Учреждения должны разрешать дистанционную работу, если соответствуют приспособленные меры безопасности и управление на месте и при условии, что выполняется утверждённая политика безопасности учреждения. Должна быть организована соответствующая защита помещения для дистанционной работы против, например, воровства оборудования и информации, несанкционированного разглашения данных, несанкционированного удаленного доступа к внутренним системам учреждения или неправильному использованию средств. Действия удалённой работы должны оба быть авторизированны и управляться администраторами учреждения и необходимо убедиться в том, что соответствующие управление на месте. Нужно рассмотреть следующие позиции: a) существующая физическая защита помещения удалённой работы, с учетом физической защиты здания и локальной среды; b) предложенная физическая среда телеобработки; c) требования безопасности, принимая во внимание потребность для удаленного доступа к внутренним системам учреждения, чувствительность информации, которая будет доступна и передаваться по линиям связи, а так же чувствительность внутренней системы; d) угроза несанкционированного доступа к информации или ресурсам от других использующих лиц, использующих помещение, например семья и друзья; ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все ____права защищены
e) использование домашних сетей и необходимые условия или ограничения на конфигурации беспроводных сетевых служб; f) политика и процедуры, чтобы предупредить споры относительно прав на интеллектуальную собственность, разработанную на частном оборудовании; g) доступ к находящемуся в частном владении оборудованию (чтобы проверить защиту машины или во время исследования), который может быть предотвращен в соответствии с законодательством; h) лицензионные соглашения программного обеспечения, если в них определено, что учреждения могут стать ответственными за лицензирование для программного обеспечения клиента на рабочих станциях, находящихся в собственности служащих, служащими по договору или третьей стороной; i) антивирусная защита и необходимые требования настроек персональных межсетевых экранов. Рекомендации и мероприятия, которые должны быть учтены: a) обеспечение подходящим оборудованием и сохранение аксессуаров для дистанционной работы, в тех случаях, когда использование личного оборудования, не находящегося под управлением организации, не позволяется; b) определение разрешённой работы, рабочее время, классификация используемой информации, которая поддерживается внутренними системами и службами, к которым удалённый работник может авторизовано обратиться; c) снабжение, соответствующей аппаратурой связи, включая методы для обеспечения удаленного доступа; d) физическая защита; e) правила и руководства на семью и посетителей которые имеют доступа к оборудованию и информации; f) обеспечение аппаратными средствами, программным обеспечением и технической поддержкой и обслуживанием; g) условия по страхованию; h) процедуры резервного копирования и обеспечения непрерывности бизнеса; i) аудит и мониторинг безопасности информации; j) аннулирование полномочий и прав доступа, а так же возврат оборудования, когда действия по дистанционной работе закончены. Дополнительная информация Телеобработка использует технологию связи, чтобы дать возможность персоналу работать дистанционно из закрепленного помещения вне учреждения. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
12. Приобретение, развитие и техническое обслуживание информационных систем 12.1 Требования безопасности информационных систем Цель: гарантировать, что защита информации является неотъемлемой частью информационных систем. Информационные системы включают операционные системы, инфраструктуру, бизнес приложения, имеющиеся в наличии программы, службы и разработанные пользователем приложения. Дизайн и реализация информационной системы, поддерживающей бизнес-процесс могут быть критическими для безопасности. Должны быть идентифицированы и согласованы требования к безопасности до разработки и/или реализации информационных систем. Все требования безопасности идентифицируются на стадии разработки требований и обоснования проекта, задокументированы как часть полного бизнес комплекта документации для информационной системы. 12.1.1 Анализ требований безопасности и спецификация Контроль Инструкции должны определить требования для управления защитой исходя из требований бизнеса для новых информационных систем или дополнений к существующей информационной системе. Руководство выполнения Технические условия для требований к средствам управления должны полагать, что автоматизированное средство управления и потребность для поддержки ручных настроек включены в информационную систему. Подобные соображения должны быть применены при оценке пакетов программ, разработанных или купленных для приложения к деловой сфере. Требования безопасности информации и средства управления должны отражать бизнес- значение вовлеченных информационных активов (см. также 7.2) и потенциальный ущерб бизнесу, который мог бы следовать от отказа или отсутствии системы защиты. Системные требования к информационной безопасности и процессам для осуществления защиты должны быть интегрированы в ранних стадиях проектов разработки информационной системы. Представленные в стадии проектирования элементы управления значительно более дешевые для внедрения и обслуживания чем, те которые включили в течениеили после внедрения. Процесс приобретения продуктов должен сопровождаться формальным испытанием. Контракты с компанией-поставщиком должны однозначно идентифицироваться требованиям безопасности. Там, где в предложенном изделии функциональные возможности средств безопасности не удовлетворяют указанным требованиям, тогда растет риск, и представленное и связанное с ним средство управления должно быть пересмотрено до покупки изделия (программы). Где есть дополнительные функциональные возможности и они вызывают угрозу безопасности, эти функции должны быть отключены или предложенная управляющая структура должна быть пересмотрена, чтобы установить, может ли применяться преимущество усовершенствованных функциональных возможностей. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Дополнительная информация Если рассматриваемый продукт соответствует, например, по критериям стоимости, администрация может воспользоваться независимо оцененными и сертифицированными изделиями. Дополнительная информация относительно оценочных критериев для ИТ изделия защиты может быть найдена в ISO/IEC 15408 или другой оценке или стандартах подтверждения соответствий. ISO/IEC TR 13335-3 - Руководство по использованию менеджмента процессов контроля рисков для идентификации требований для средства контроля безопасности. 12.2 Корректная обработка в приложениях Цель: предупреждать ошибки, потерю, несанкционированное изменение или неправильное употребление информации в приложениях. Чтобы гарантировать правильную обработку должны быть разработаны соответствующие средства контроля в приложениях, включая те приложения, которые разработали пользователи. Эти средства контроля должны включать проверку правильности: вводимых данных, внутренней обработки и выходных данных. Может потребоваться дополнительное средство контроля для систем, которые обрабатывают или работают во взаимодействии с чувствительной, ценной или критично важной информацией. Такое средство контроля должно быть определено на основе требований безопасности и оценки риска. 12.2.1 Проверка правильности входных данных Контроль Ввод данных в приложения должен быть утвержден, чтобы гарантировать, что эти данные правильны и соответствуют. Руководство выполнения Должны быть применены проверки к вводимым бизнес - транзакциям, постоянным данным (например, названия и адреса, лимиты кредитования, кодовые номера заказчика) и таблицам параметров (например, продажные цены, расчёты конвертирования валюты, налоговые ставки). Необходимо учитывать следующие рекомендации: a) применение проверок двойного ввода или других входных проверок, типа проверка границ или ограничивающих полей к определенным диапазонам входных данных, чтобы обнаружить следующие ошибки: 1) вне диапазонные значения; 2) запрещенные символы в полях данных; 3) отсутствие или неполные данные; 4) превышение верхних и нижних пределов объема данных; 5) неавторизированная или несовместимая контрольная информация; b) периодическая проверка содержания ключевых полей или файлов данных, чтобы утвердить их юридическую силу и целостности; c) проверка твердой копии вводимых данных на предмет несанкционированных изменений (все изменения на входных документах, должны быть утверждены); d) процедуры для ответа на ошибки проверки правильности; e) процедуры для испытания достоверности входных данных; f) определение обязанностей всего персонала, включенного в процесс ввода данных; g) создание журнала действий, вовлеченных в процесс ввода данных (см. 10.10.1). ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Дополнительная информация Необходимо продумывать, где это возможно процесс автоматической экспертизы и проверки правильности вводимых данных для снижения риска ошибок и предупреждения стандартных атак, включая переполнение буфера и кодовые инъекции26. 12.2.2 Управление внутренней обработкой Контроль Проверки правильности должны быть включены в приложения, чтобы обнаружить любое искажение информации от обработки ошибок или преднамеренных действий. Руководство выполнения Дизайн и процесс выполнение приложений должны гарантировать, что риски неправильной обработки, приводящие к потере целостности, минимизированы. Определённые области для рассмотрения включают: a) использование функций добавления, изменения и удаления, чтобы осуществить изменения в данных; b) процедуры, чтобы отменять запуск программ, которые запускаются в неправильном порядке или после неисправностей предшествующей обработки (см. также 10.1.1); c) использование соответствующих программ, чтобы восстановить систему от неисправности, для гарантирования правильной обработки данных; d) защита против атак, использующих переполнение буфера. Должны сохраниться в безопасности и быть подготовленными: соответствующая технологическая карта, задокументированные действия и результаты. Примеры проверок, которые могут использоваться, включают следующее: a) сеансовый или пакетный контроль, чтобы поддерживать баланс между приходом и расходом данных после модификаций транзакции; b) балансирующий контроль, чтобы проверить равновесие открываемых данных и данных предыдущего закрытия, а именно: 1) выполняться, чтобы управлять средством контроля; 2) общее количество обновлений файла; 3) контроль «программа в программе»; c) проверка правильности сгенерированных системой входных данных (см. 12.2.1); d) проверка на целостность, подлинность, любой другой особенности безопасности данных, загруженного программного обеспечения или передаваемых данных между центральным и удалённым компьютером; e) контрольные суммы отчетов и файлов; f) проверки, чтобы гарантировать, что прикладные программы выполнены в точное время; g) проверки, чтобы гарантировать, что программы запускаются, выполняются в правильном порядке и прекращают работу в случае неисправности и что дальнейшая обработка приостановлена, пока проблема не решена; h) создание журнала событий, включенных в обработку (см. 10.10.1). Дополнительная информация Данные, которые были правильно введены, могут быть разрушены аппаратными ошибками, ошибками обработки или после умышленных27 действий. Требуемые проверки правильности будут зависеть от характера приложения и влияния на бизнес любого искажения данных.
26 Имеется в виду вставка в определённые поля данных в виде исполняемого деструктивного кода ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
12.2.3 Целостность сообщения Контроль Должны быть идентифицированы требования по гарантии подлинности и защиты целостности сообщения в приложениях и реализован соответствующий контроль. Руководство выполнения Должна быть выполнена оценка риска угроз безопасности, чтобы установить, требуется ли целостность сообщения и идентифицировать соответствующий метод выполнения. Дополнительная информация Криптографические методы (см. 12.3) могут использоваться как соответствующее средство аутентификации сообщения. 12.2.4 Проверка правильности выходных данных Контроль Должны быть утверждены выводные данные от приложения, чтобы гарантировать, что обработка сохранённой информации корректна, и соответствует условиям. Руководство выполнения Проверка правильности выходных данных может включать: a) проверка правдоподобия, чтобы проверить, является ли выходные данные корректными; b) управление взаимодействием, чтобы гарантировать обработку всех данных; c) обеспечения достаточности информацию для считывающего устройства или последующей системы обработки, чтобы определить правильность, законченность, точность и классификацию информации; d) процедуры для ответа на проверки достоверности выводимой информации; e) определение обязанностей всего персонала, включенного в процесс вывода данных; f) создание журнала событий в процессе проверки достоверности выходных данных. Дополнительная информация Как правило, системы и приложения созданы на предположении, что предпринимается соответствующая проверка правильности, верификация и испытание, а выходные данные будут всегда правильными. Однако, это допущение не всегда правильно; то есть, при некоторых обстоятельствах, системы, которые были проверены, могут давать неправильные выходные данные. 12.3 Управление криптографическими средствами Цель: Защитить конфиденциальность, подлинность или целостность информации криптографическими средствами. Должна быть разработана политика управления и использования криптографических средств. Чтобы поддерживать использование криптографических методов должно быть управление ключами.
27 Имеется в виду умышленных деструктивных действиях злоумышленника или необученного оператора ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
12.3.1 Политика по использованию управления криптографическими средствами Контроль Политика использования управления криптографическими средствами для защиты информации должна быть разработана и реализована. Руководство выполнения При разработке криптографической политики следующее необходимо рассмотреть: a) подход администрации к использованию управления криптографическими средствами в учреждении, включая общие принципы, в соответствии с которыми должна защищается коммерческая информация (см. также 5.1.1); b) должен быть идентифицирован необходимый уровень безопасности, базирующийся на определении степени риска и типе учётной записи, принимая во внимание тип, стойкость и качество криптографического алгоритма; c) использование криптографии для защиты чувствительной информации, транспортируемой мобильными, съемными средствами, устройствами или на линиях связи; d) подход к управлению ключами, включая методы по защите криптографических ключей и восстановления зашифрованной информации в случае потери, компрометации или повреждения ключей; e) роли и обязанности, например, кто ответствен за: 1) реализацию политики; 2) управление ключами, включая генерацию ключей (см. также 12.3.2); f) стандарты, которые будут приняты для эффективного выполнения во всём учреждении (какое решение используется для какого бизнес-процесса); g) влияние использования зашифрованной информации на средства контроля, которые полагаются на инспекцию содержимого (например, вирусное обнаружение). При внедрении в учреждении криптографической политики, нужно рассмотреть нормы и национальные ограничения, которые могут влиять: на использование криптографических методов в различных частях мира и на транс - граничный поток зашифрованной информации (см. также 15.1.6). Управление криптографическими средствами может использоваться для достижения различных целей защиты, например: a) Конфиденциальность: использование шифрование/дешифрование информации, чтобы защитить чувствительную или критично важную информацию, для хранения или передачи; b) Целостность / подлинность: использование цифровых подписей или аутентификационных кодов сообщения для защиты подлинности и целостность сохраненной или переданной чувствительной или критично важной информации; c) невозможность отказа от авторства: использование криптографических методов, чтобы получить доказательство возникновения или не возникновения случая или воздействия. Дополнительная информация, Принимая решение относительно того, является ли криптографическое решение соответствующим, следует его рассмотреть как часть более широкого процесса оценки риска и выбора средства управления. Эта оценка может использоваться для решения, является ли криптографическое средство подходящим, какое средство защиты должно применяться для защиты бизнес процессов. Политика использования управления криптографических средств необходима, для того чтобы максимизировать выгоды и минимизировать риски использования криптографических методов и избегать неуместного или неправильного использования. При использовании цифровых подписей нужно рассматривать нормы и специфические правила уместного законодательства, описывающие условия их применения, при которых цифровые подписи являются юридически признаваемыми (см. 15.1). ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Необходимо обращаться к советам специалистов, чтобы идентифицировать соответствующий уровень защиты и определять подходящие технические условия, которые обеспечат требуемую защиту и будут поддерживать безопасное выполнение системы управления ключами (см. также 12.3.2). ISO/IEC JTC1 SC27 разработал несколько стандартов, связанных с криптографическими средствами. Дополнительная информация может также быть найдена в IEEE P1363 и рекомендациях OECD (ОРГАНИЗАЦИИ ЭКОНОМИЧЕСКОГО СОТРУДНИЧЕСТВА И РАЗВИТИЯ) криптографии. 12.3.2 Управление ключами Контроль Должно быть отработано управление ключами, чтобы поддерживать в учреждении использование криптографических методов. Руководство выполнения Все криптографические ключи должны быть защищено против модификации, кражи и разрушения. Кроме того, секретные и конфиденциальные ключи нуждаются в защите от несанкционированного раскрытия. Используемое Оборудование для генерации, сохранения и архивирования ключей должно быть физически защищено. Система управления ключами должна быть основана на согласованном множестве стандартов, процедур и безопасных методов для: a) формирования ключей для различных криптографических систем и различных приложений; b) формирование и получение сертификатов с открытым ключом; c) распределение ключей предназначенным пользователям, включая указания, как активировать ключи, когда они получены; d) хранения ключей, включая указания, как авторизованные пользователи получают доступ к ключам; e) смена или обновление ключей, включая правила, когда ключи должны быть сменены и как это будет делаться; f) обращение с скомпрометированными ключами; g) аннулирование ключей, включая, как ключи должны изыматься или деактивированы, например, когда ключи были скомпрометированы или когда потребитель временно покидает учреждение (случаи, когда ключи должны также быть заархивированы); h) восстановление ключей, которые потеряны или разрушены, как часть требований управления непрерывности бизнеса, например для восстановления зашифрованной информации; i) архивирование ключей, например для архивированной или восстановленной информации; j) разрушение ключей; k) регистрация и аудит действий, связанных с управлением ключами. Для уменьшения вероятности компрометации необходимо, чтобы ключи имели определённые даты активации и деактивации, чтобы их могли использоваться только для ограниченного периода времени. Этот промежуток времени должен зависеть от обстоятельств, при которых используется криптографическое средство и предполагаемый риск. В дополнение к вопросу безопасности управления секретными и личными ключами, необходимо рассматривать вопрос аутентичность открытых ключей. Этот аутентификационный процесс может быть выполнен, используя открытые ключевые сертификаты, которые обычно выдаются полномочным органом сертификации, который должен быть признанным учреждением с соответствующим контролем и процедурами, чтобы обеспечить необходимую степень доверия. Содержание уровня сервисных соглашений или контрактов с внешними компаниями - поставщиками криптографических служб, например с органом сертификации, должно охватывать вопросы ответственности, надежность услуг и допустимого времени ответного действия, касающегося предоставления услуг (см. 6.2.3). ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Дополнительная информация Управление криптографическими ключами является необходимым для эффективного использования криптографических методов. ISO/IEC 11770 обеспечивает дополнительную информацию управления ключами. Два типа криптографических методов: a) метод секретного ключа, где две или больше сторон совместно используют тот же самый ключ и этот ключ, используется, чтобы зашифровать и чтобы расшифровывать информацию; этот ключ должен сохраниться секретным, так как любой имеющий доступ к ключу способен расшифровать всю информацию, зашифрованную этим ключом или вводить несанкционированную информацию, используя ключ; b) метод открытых ключей28, где каждый пользователь имеет ключевую пару, ключ публичный (который может быть показан любому) и секретный ключ (который, должны сохранять секретным); метод открытых ключей может использоваться для шифрования и процедур цифровой подписи (см. также ISO/IEC 9796 и ISO/IEC 14888). Имеется угроза фальсификации цифровой подписи при подмене открытого ключа пользователя. Эта проблема возникает от использования публичного ключевого сертификата29. Криптографические методы могут также использоваться, для защиты криптографических ключей. Процедуры должны применяться для обработки законных просьб о доступе к криптографическим ключам, например зашифрованная информация должна быть доступной в незашифрованной форме как доказательство в деле, рассматриваемом судом. 12.4 Безопасность системных файлов Цель: Гарантировать защиту системных файлов. Доступом к системным файлам и исходному коду необходимо управлять, IT-проекты и проводимые действия поддержки должны проводиться безопасным способом. Необходимо применять меры предосторожности, чтобы избежать несанкционированного показа чувствительных данных в испытательных средах. 12.4.1 Управление операционным программным обеспечением Контроль Должны быть отработаны процедуры, чтобы управлять инсталляцией программного обеспечения на действующих системах. Руководство выполнения Чтобы минимизировать риск искажения в операционных системах должны быть рассмотрены следующие рекомендации для смены режима управления: a) обновление операционного программного обеспечения, приложений и библиотек программ должно выполняться только обученными администраторами при соответствующем разрешении управления (см. 12.4.3); b) операционные системы должны содержать только одобренный выполняемый код, а не код разработчиков 30 и не код компиляторов31;
28 или публичных 29 Имеется в виду угроза подмены открытых ключей, если не используется процедуры работы с центром сертификации ключей 30 Имеется в виду исполняемые коды с встроенными функциями отладки, которые применяются разработчиками 31 Имеется в виду компиляторы «для сбора» программного обеспечения из исходных кодов ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
c) приложения и программное обеспечение операционной системы должно внедряться только после всестороннего и успешного испытания; испытания должны быть запущены на отдельных системах и включают проверки на удобство работы, безопасность, воздействие на другие системы и удобство для пользования (см. также 10.1.4); если это гарантировано, то должно быть обеспечено обновление и передача исходных модифицированных библиотек программы; d) должна использоваться система контроля конфигурацией для сохранения управления всем реализованным программным обеспечениемтакже как системной документацией; e) прежде, чем изменения реализованы должна быть применена политика для возврата в исходное состояние; f) все модификации операционных библиотек программы должен быть отображены в журнале аудита; g) предыдущие версии прикладного программного обеспечения должны быть сохранены как чрезвычайная мера; h) старые версии программного обеспечения должны быть заархивированы, вместе со всей необходимой информацией и параметрами, процедурами, конфигурационными подробностями, программным обеспечением поддержки, до тех пор, пока данные сохраняются в архиве. Продавец, доставляющий программное обеспечение, которое используется в действующих системах должно обслуживаться на уровне, поддерживаемом поставщиком. Через какое-то время, программные продавцы прекращают поддерживать старшие версии программного обеспечения. Учреждение должно учесть риски доверия к неподдерживаемому программному обеспечению. Любое решение об обновлении программного обеспечения до нового релиза должно учитывать требования бизнеса и безопасность новой версии, то есть введения новых функциональных возможностей защиты или уровни и важность проблем безопасности, воздействующих на эту версию. Программные исправления должны быть применены, когда они могут помогать удалять или снижать уязвимости безопасности (см. также 12.6.1). Физический или логический доступ следует давать поставщикам для целей поддержки, когда необходимо и при одобрении руководства. Действия поставщика должны подвергаться мониторингу. Компьютерное программное обеспечение может положиться на внешние поставки программного обеспечения и модулей, которые должны быть проверены и управляемы, чтобы избежать несанкционированных изменений, которые могут вводить уязвимости в безопасность. Дополнительная информация Операционные системы должны быть модернизированы, только когда это необходимо, например, если текущая версия операционной системы больше не удовлетворяет требованиям бизнеса. Обновления не должны происходить только, потому, что доступнановая версия операционной системы. Новые версии операционных систем могут быть менее безопасны, менее стабильны и менее понятны, чем существующие системы. 12.4.2 Защита системных испытуемых32 данных Контроль Испытуемые данные должны тщательно выбираться, защищаться и управляться. Руководство выполнения Использование операционных баз данных, содержащих персональную информацию или любую другую чувствительную информацию для испытательных целей недопустимо. Если такая информация используются для тестовых целей, то все критично важные данные из содержания должны быть перед использованием удалены или изменены до неузнаваемости.
32 Или тестовых данных ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Должны быть применены следующие рекомендации по защите операционных данных при использовании для испытательных целей: a) процедуры управления доступом, которые относятся к прикладным операционным системам, должны также применяться в прикладных тестовых системах; b) должна быть отдельная авторизация каждый раз, когда операционная информация копируется на испытательную прикладную систему; c) операционная информация должна быть стерта с испытательной прикладной системы немедленно после того, как испытание закончено; d) копирование и использование операционной информации должны быть зарегистрированы, чтобы оставить след для аудита. Дополнительная информация Система и приемные испытания обычно требуют существенных объемов тестовых данных, насколько это возможно к реальным операционным данным. 12.4.3 Контроль доступа к исходному программному коду Контроль Доступ к исходному тексту программы, должен быть ограничен. Руководство выполнения Доступ к исходному тексту программы и связанным элементам (типа проектов, спецификаций, планов выверки и планов проверки правильности) должны строго управляться, чтобы предупредить введение недокументированных функциональных возможностей и избежать не умышленных изменений. Это может быть достигнуто управляемым центральным фондом такого кода для исходного текста программы, предпочтительно в исходных кодах библиотек программ. Чтобы снизить возможности искажения компьютерных программ должны применяться следующие рекомендации (см. также 11) по управлению доступом к исходным кодам таких библиотек программ: a) библиотеки исходных текстов программ не должны храниться в действующих системах, где это возможно; b) управление исходными текстами программ и исходных текстов библиотек программ должно происходить согласно установленных процедур; c) персонал поддержки не должен иметь неограниченного доступа к фонду исходных текстов библиотек программ; d) обновление исходных текстов библиотек программ и связанных позиций, отпуск (выдача) исходных текстов программ программистам должно осуществляться только после того, как было получено соответствующее разрешение руководства; e) листинги программы должны следует хранить в безопасной среде (см. 10.7.4); f) должен поддерживаться для всех доступов к библиотеки программных исходных текстов журнал аудита; g) обслуживание и копирование библиотек исходных текстов программ должны быть подчинены строгим процедурам контроля изменений (см. 12.5.1). Дополнительная информация Исходный программный код - это текст программы, написанный программистами, который откомпилирован (и связан), чтобы создать исполняемые программы. Некоторые языки программирования формально не различают разница между исходным текстом и исполняемыми программами, поскольку исполняемые программы создаются во время, когда они инициированы. Стандарты ISO 10007 и ISO/IEC 12207 обеспечивают дополнительную информацию относительно организации системы и всего процесса жизненного цикла программного обеспечения. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
12.5 Безопасность разработки и процессов сопровождения Цель: Поддерживать безопасность программного обеспечения прикладной системы и информации. Проект и средства поддержки должны строго управляться. Администраторы, ответственные за прикладные системы должны также нести ответственность за безопасность проекта или средств поддержки. Они должны гарантировать, что все предложенные изменения системырассмотрены, чтобы проверить, что они не компрометируют безопасность системы или среды. 12.5.1 Управление процедурами изменений Контроль Выполнение изменений должно управляться при помощи формальных процедур управления изменениями. Руководство выполнения Формальные процедуры управления изменений должны быть задокументированы и предписаны, чтобы минимизировать искажение информационных систем. Введение новых систем и основные изменения на существующие системы должны следовать за формальным процессом документации, технических требований, испытания, контроля качества и управляемого внедрения. Этот процесс должен включать оценку риска, анализ существующих изменений и технических требований контроля безопасности. Этот процесс должен также гарантировать, что существующая система безопасности и процедуры контроля не скомпрометированы, что программистам поддержки дают доступ только к тем частям системы, которые необходимы для их работы и что получено формальное соглашение и утверждение для любого изменения. Везде, где возможно, должно быть интегрированы процедуры управления изменениями и функционирования (см. также 10.1.2). Процедуры изменения должны включить: a) поддержание отчета согласованного с уровнями авторизации; b) проведение изменения уполномоченными пользователями; c) рассмотрение управления и процедур целостности, чтобы гарантировать, что они не будут скомпрометированы изменениями; d) идентифицировать все программное обеспечение, информацию, объекты базы данных и аппаратные средства, которые требуют корректировки; e) получить формальное одобрение для детальных предложений перед началом работы; f) получение официального одобрения для детальных предложений, прежде чем начнётся работа; g) убедиться, что комплект системной документации был модифицирован после каждого изменения и что старая документация заархивирована или уничтожена; h) поддержание контроля версий для всех модификаций программного обеспечения; i) поддержание следов аудита всех запросов изменения; j) Убедиться, чтоб операционная (рабочая) документация _____(10.1.1) и процедуры пользователя изменяются по мере необходимости, чтобы поддерживается их актуальность; k) убедиться, чтоб выполнение изменений происходит вовремя и не нарушает вовлеченные бизнес - процессы. Дополнительная информация Измененное программное обеспечение может повлиять на эксплуатационную среду. Кодекс хорошей практики включает испытание нового программного обеспечения в среде, отдельной и от производства и от сред разработки (проектирования) (см. также 10.1.4). Это ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
обеспечивает наличия средств управления над новым программным обеспечением и предоставление дополнительной защиты операционной информации, которая используется для тестовых целей. Это должно включить исправления, сервисные пакеты и другие обновления. Автоматические обновления не должны проводиться на критических системах, так некоторые изменения могут катастрофически воздействовать на критические приложения (см 12.6). 12.5.2 Техническая проверка приложений после изменений операционной системы Контроль После изменений операционные системы должны быть протестированы и проверены критические бизнес-приложения, чтобы гарантировать, что не имеется никакого неблагоприятного воздействия на организационные действия или безопасность. Руководство выполнения Этот процесс должен охватывать: a) пересмотр управления над прикладными процессами и процедурами целостности, чтобы гарантировать, что они не были скомпрометированы изменениями операционной системы; b) обеспечение уверенности в том, что ежегодный план поддержки и бюджет покрывают издержки на пересмотры и тестирование системы, следующие за изменениями операционной системы; c) обеспечение того, что извещение об изменениях операционной системы поступало своевременно, чтобы провести соответствующие испытания и пересмотры перед внедрением; d) убедиться, что соответствующие изменения были сделаны в плане непрерывности бизнеса (см 14). Определенная группа или отдельные сотрудники должны быть ответственны за контроль уязвимостей, получение и установку новых исправленийот изготовителей (см. 12.6). 12.5.3 Ограничения на изменения пакетов программ Контроль Изменения к пакетам программ могут быть не одобрены, ограничены в необходимости изменений и все изменения должны строго управляться. Руководство выполнения Насколько возможно и реально, пакеты программ, полученные от вендоров33, должны использоваться без изменения. Там - где пакет программ должен измениться, должны быть рассмотрены следующие правила: a) риск со стороны встроенных средств управления и скомпрометированных процессов целостности; b) нужно ли получить согласие поставщика; c) возможность получения версии с необходимыми изменениями от поставщика как стандартной программа обновления;
33 Продавцов программного обеспечения ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
d) последствия того, что в результате изменений будущая поддержка программного пакета окажется обязанностью самой эксплуатирующей организации. Если изменения все же необходимы, первоначальное программное обеспечение должно быть сохранено и изменения должны быть внесены в определённо идентифицированной копии. Должен быть реализован процесс управления обновлением, чтобы гарантировать, что установлены наиболее современные исправления и модификации приложения во всё разрешенное программное обеспечение (см. 12.6). Все изменения должны быть полностью проверены и задокументированы, так, чтобы их можно было повторно внести заново в случае необходимости при обновлении программ в будущем. Если требуется, изменения должны быть проверены и подтверждены независимой оценочной комиссией. 12.5.4 Утечка информации Контроль Должны быть предотвращены возможности информационной утечки. Руководство выполнения Должны применяться следующие меры, чтобы ограничить риск информационной утечки, например, через использование и эксплуатацию плохо защищенных каналов: a) обследование выходящих за границу учреждения носителей на предмет скрытой информации; b) маскировка и модуляция системы и режима связи, чтобы снизить вероятность подключения третьего лица, способного выводить информациюиз такого режима; c) использование систем и программного обеспечения, которые, как полагают, являются высокой честными, например, используя оцененные изделия (входят в списки сертифицированных изделий) (см. ISO/IEC 15408); d) регулярный контроль персонала и системных действий, где это разрешено согласно существующему законодательству или внутренними нормами; e) управление использования ресурса в компьютерных системах. Дополнительная информация Плохо защищенные каналы - пути, которые не предназначены, для информационных потоков, но которые, однако могут, существовать в системе или сети. Например, управление битами в пакетах протокола линии передачи данных может использоваться как скрытый метод сигнализации. Запрет использования всех возможных плохо защищенных каналов труден по их природе, если не невозможен. Однако эксплуатация таких каналов часто выполняется троянским кодом (см. также 10.4.1). Принятие мер по защите от троянского кода значительно снижает риск эксплуатации плохо защищенного канала. Предотвращение неавторизированного доступа к сети (11.4), также как политика и процедуры, не позволяющие неправильного использования персоналом информационных сервисов (15.1.5) помогают защитить от плохо защищенных каналов. 12.5.5 Разработка программного обеспечения третей стороной Контроль Программное обеспечение, которое разработано третей стороной должно контролироваться и проверяться учреждением. Руководство выполнения Если программное обеспечение приобретено на стороне, нужно рассматривать: ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
a) лицензионные соглашения, права монопольного использования кода и права на интеллектуальную собственность ( см. 15.1.2); b) подтверждение (сертификация) качества и точности выполненной работы; c) соглашения о разрешении споров в случае претензий от третей стороны; d) права доступа для аудита качества и точности выполненной работы; e) договорные требования по качеству и функциональным возможностям защиты кода; f) испытание перед инсталляцией на предмет обнаружения вредоносного и троянского кода. 12.6 Техническое управление уязвимостями Цель: снижать риски, следующие из эксплуатации используя опубликованных технических уязвимостей. Техническое управление уязвимостями должно быть реализовано эффективным, систематическим и высоко по точности повторяемым способом предпринимаемых действий, чтобы подтвердить его эффективность. Эти требования должны включить операционные системы и любые другие используемые приложения. 12.6.1 Контроль над техническими уязвимостями Контроль Должна быть выработана позиция учреждения к получению своевременной информации относительно технических уязвимостей в используемых информационных системах, оценены уязвимости и предприняты соответствующие меры, чтобы принять связанный риск. Руководство выполнения Текущая и полная инвентаризация активов (см. 7.1) - обязательное требование для действенного управления техническими уязвимостями. Необходима определённая информация, чтобы поддерживать управление техническими уязвимостями включая производителя программного обеспечения, номера версии, текущее состояние развертывания (например, какое программное обеспечение установлено на какой системе) и лицо (а) в пределах учреждения, ответственного за программное обеспечение. Соответствующее и своевременное воздействие должно быть взято в ответ на идентификацию потенциальных технических уязвимостей. Следующие правила должны исполняться, чтобы процесс управления техническими уязвимостями сделать действенным: a) учреждение должно определить и устанавливать роли и обязанности, связанные со техническим управлением уязвимостями, включая контроль уязвимости, оценки риска уязвимости, внесение исправлений, отслеживание имущества и любые требуемые обязанности координации; b) информационные ресурсы, которые будут использоваться для идентификации уместные технические уязвимости и поддержание относительно них компетентности для программного обеспечения и других технологий (основанный на списке активов см. 7.1.1); эти информационные ресурсы должны быть обновлены основываясь на изменениях в описи или когда найдены другие новыеили полезные ресурсы; c) должно быть определено расписание для реагирования на извещения об потенциально уместных технических уязвимостях; d) как только потенциальная техническая уязвимость идентифицирована, учреждение должно идентифицировать связанные с ней риски и действия, которые нужно принять; такое воздействие может включать корректировку уязвимых систем и/или рекомендацию применять другое средство контроля; e) в зависимости от того, как срочно должна быть устранена взятая техническая уязвимость, должно быть проконтролировано конкретно принимаемое действие, связанное с изменением ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
управления (см. 12.5.1) или следующими информационными процедурами реакции инцидента безопасности (см. 13.2); f) если исправления доступны, то должны быть оценены риски, связанные с установкой обновления (риски от уязвимости должны быть сравнимы с риском, возникающим после установки обновления); g) исправления должны быть проверены и оценены прежде, чем они установлены, чтобы гарантировать, что они действенны, и не приводят к побочным эффектам, которые нельзя допустить; если не доступны обновления, то должны применяться другое средство управления типа: 1) отключение услуг или возможностей, связанных с уязвимостью; 2) адаптация или добавление средств управления доступом, например межсетевых экранов, как сетевой границы ( см. 11.4.5); 3) усиление мониторинга, чтобы обнаруживать или предупреждать фактические атаки; 4) поднимать компетентность в области уязвимостей; h) должны сохраняться журналы аудита для всех предпринятых действий; i) технический процесс управления уязвимостями должен регулярно проверяться и оцениваться, чтобы гарантировать его действенность и продуктивность; j) сначала должны быть проверены системы высокой степени риска. Дополнительная информация Критическим ко многим организациям является правильное функционирование технического процесса управления уязвимостями учреждения и поэтому он должен регулярно проверяться. Важна точная инвентаризация, чтобы гарантировать, что идентифицированы потенциально возможные уязвимости. Техническое управление уязвимостями может рассматриваться как дополнительная функция управления изменениями и также может использовать преимущества управления изменениями и процедурами в своих целях (см. 10.1.2 и 12.5.1). Вендоры находятся часто под давлением, чтобы выпустить обновления как можно скорее. Поэтому, обновление может решить проблему не адекватно и может иметь отрицательные побочные эффекты. Также, в некоторых случаях, после того как инсталлировано обновление, оно не может быть легко деинсталлировано. Если адекватное испытания обновления не возможно, например из-за затрат или отсутствия ресурсов, может рассматриваться задержка во внесении исправлений, чтобы оценить риски, основанные на опыте, сообщенном пользователями других учреждений. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
13 Управление инцидентами информационной безопасности 13.1 Сообщение об инциденте информационной безопасности и уязвимостях Цель: Гарантировать принятие своевременных корректирующих воздействий на события информационной безопасности и уязвимости способом, позволяющим применить своевременное управляющее воздействие. Формальное сообщение об инциденте и процедуре решения проблемы должны быть предприняты. Все служащие, служащие на договоре и пользователи третьих лиц должны знать процедуры для сообщения о различных типах инцидентов и об уязвимости, которая могла бы иметь конфликт с защитой организационных авуаров. Необходимо сообщить о любых происшествиях в информационной безопасности и об их уязвимостях настолько быстро насколько возможно данных обстоятельствах. 13.1.1 Сообщение о происшествиях информационной безопасности Контроль О происшествиях в информационной безопасности надо сообщать администрации по соответствующим каналам настолько быстро насколько возможно. Руководство выполнения Должна быть установлена формальная информационная процедура сообщения о происшествии в безопасности; вместе с реакцией на инцидент и процедурой восстановления, излагается действие, которое должно быть принято при получении сообщения обинциденте. Для сообщений об инцидентах безопасности должна быть установлена точка соприкосновения. Должно быть обеспечено, чтобы точка соприкосновения была известна во всем учреждении, всегда доступна и способна обеспечить адекватный и своевременный ответ. Все служащие, служащие на договоре и третья сторона должны знать о своей обязанности сообщить настолько быстро насколько возможно о любых событиях в информационной безопасности. Они должны также знать процедуру для сообщения о происшествиях влияющих на информационную безопасность и контактное лицо. Процедуры сообщения должны включать: a) доступные процессы обратной реакции, чтобы гарантировать, что для сообщающего о происшествиях информационной безопасности уведомлены относительно результатов после того, как процесс отработан и закрыт; b) для удобства в запоминании всех необходимых действий в случае происшествия в информационной безопасности необходимо систематизировать формы сообщения о происшествии и помощи сообщающему лицу; c) необходимые действия, который будут предприняты в случае происшествия в информационной безопасности, то есть. 1) отмечать все важные подробности (например тип несоблюдения или нарушения, встреченная неисправность, сообщения на экране, странный режим) немедленно; 2) не предпринимать любого собственного действие, но немедленно сообщить о сути контактному лицу; d) ссылки на установленные формальные дисциплинарные процессы для всех служащих, служащих по договору или третей стороны, совершающими нарушения безопасности. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
В средах высокой степени риска может обеспечиваться указание таких проблем как лица, работающие под физическим принуждением и принудительное включение аварийной сигнализации34 для этого. Процедуры для ответа на систему индикации аварии физического принуждения должны отразить местоположение высокой степени риска, которое указывает такая система индикации тревоги. Дополнительная информация Примеры происшествий в информационной безопасности и побочных обстоятельств: a) потери сервисов, оборудования ____или средств, b) неисправности в системе или перегрузки, c) человеческие ошибки, d) несоблюдения политик или рекомендаций, e) нарушения физических мер безопасности, f) неуправляемые системные изменения, g) сбои программного обеспечения или аппаратных средств, h) нарушения прав доступа. С надлежащим сервисом аспектов конфиденциальности инциденты безопасности могут использоваться в обучении пользователей (см. 8.2.2), как примеры того, что могло случиться, как реагировать на такие происшествия и как избежать их в будущем. Для сбора должным образом доказательств (см. 13.2.3), как можно скорее после происшествия необходимо квалифицированно обратиться к информации о событиях безопасности и инцидентам безопасности. Сбои или другое аномальное системное поведение могут быть индикатором атаки на защиту, или фактически нарушена безопасность и поэтому нужно всегда сообщать как о происшествии в информационной безопасности. Подробная информация относительно сообщения о событиях защиты в информационной безопасности и управление информационными инцидентами может быть найдено в ISO/IEC TR 18044 «Информационные технологии. Методы защиты. Управление особыми ситуациями или ошибками, требующими вмешательства оператора для защиты информации». 13.1.2 Сообщение об уязвимостях безопасности Контроль Все служащие, служащие на договоре и третья сторона информационных систем и служб должны обращать внимание и сообщать о любых наблюдаемых или подозреваемых уязвимостях в защите системы или службах. Руководство выполнения Все служащие, служащие на договоре и третья сторона должны сообщить эти вопросы администрации или прямо поставщику услуг настолько быстро насколько возможно, чтобы предупредить происшествия в информационной безопасности. Сообщение должна быть как простым, доступным, и понятным насколько возможно. Необходимо информировать, что они не должны в любых обстоятельствах пытаться доказывать подозреваемую уязвимость. Дополнительная информация Служащие, служащие на договоре и третья сторона должны принять к сведению и не пытаться доказывать подозреваемые уязвимости и защиты. Тестирование уязвимостей может быть проинтерпретировано, как потенциальное неправильное использование системы и может также вызывать ущерб информационной системе или сервису и быть результатом ответственности перед судом для индивидуума, исполняющего испытание.
34 прибор тревожной сигнализации о работе под физическим принуждением - метод для тайной индикации, что воздействие происходит «под физическим принуждением» ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
13.2 Управление информационными инцидентами безопасности и развитием Цель: Гарантировать непротиворечивый и эффективный подход, примененный для управления информационными инцидентами. Должны быть в наличии обязанности и процедуры, чтобы обработать инциденты информационной безопасности и уязвимости эффективно, как только о них было сообщено. К реакции, контролю, оценке и полному управлению инцидентами информационной безопасности должен быть применен процесс непрерывного совершенствования. Эти действия выполняются в соответствии с законодательными требованиям там где требуются сбор доказательств. 13.2.1 Обязанности и процедуры Контроль Должны быть установлены обязанности по управлению и процедуры для гарантированной быстрой, эффективной и организованной реакции на инциденты информационной безопасности. Руководство выполнения В дополнение к сообщению о происшествии в информационной безопасности и уязвимостях (см. также 13.1), должен также использоваться для поиска инцидентов безопасности мониторинг: систем, предупреждений и уязвимостей (10.10.2). Должны применяться следующие рекомендации для управления инцидентами безопасности: a) должны быть установлены процедуры обработки различных типов инцидентов информационной безопасности, включая: 1) отказы информационной системы и потеря обслуживания; 2) вредоносный код (см. 10.4.1); 3) отказ в обслуживании; 4) ошибки, следующие из неполных или неточных данных бизнес - информации; 5) нарушения конфиденциальности и целостности; 6) неправильное использование информационных систем. b) в дополнение к нормальным планам непрерывности процессов (см. 14.1.3), процедуры должны также охватывать (см. также 13.2.2): 1) анализ и идентификация причины инцидента; 2) содержание; 3) планирование и выполнение управляющего воздействия, чтобы предотвратить рецидив, в случае необходимости; 4) взаимодействие с теми, кого затрагивает или вовлечен с восстановлением после инцидента; 5) сообщение о действиях с надлежащими полномочиями; c) должны быть собраны (см. 13.2.3) и сохранены «следы» для аудита и подобные доказательств как предопределено для: 1) внутреннего анализа проблем; 2) использования, как доказательства относительно потенциального нарушения договора или регулирующего требования в случае гражданских или уголовных преследований, например под неправильным употреблением компьютера или законодательства о защите данных; 3) ведения переговоров относительно компенсации от программных поставщиков и сервисных компаний - поставщиков; d) должны тщательно и формально управляться действия, для восстановления от нарушений безопасности и исправления системных неисправностей; процедуры должны гарантировать что: 1) только ясно идентифицированному и разрешенному персоналу позволен доступ к системе и данным (см. также 6.2 для внешнего доступа); ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
2) все предпринимаемые действия в чрезвычайных обстоятельствах должны быть подробно задокументированы; 3) о чрезвычайном действии сообщают администрации учреждения и рассматривают дежурные службы; 4) целостность систем и средств контроля подтверждены с минимальной задержкой. Цели для управления инцидентами защиты информации должны быть согласованы с администрацией и это должно быть обеспечено, чтобы тот ответственный за управление инцидентами информационной безопасности понимал приоритет учреждения для обработки нарушения информационной безопасности. Дополнительная информация Информационные инциденты в защите Информации могут превышать организационные и национальные границы. Имеется увеличивающаяся необходимость реагирование на такие инциденты, и координировать реакцию, а так же совместно использовать информацию относительно этих происшествий с соответствующими внешними организациями. 13.2.2 Изучение инцидентов информационной безопасности Контроль Должны быть определены и проверены механизмы, чтобы включать проверки и определять типы, объемы и затраты от нарушения информационной безопасности. Руководство выполнения Информация, полученная от оценки инцидентов безопасности должна использоваться для идентификации повторяющегося или силы воздействия происшествия. Дополнительная информация Оценка информационных инцидентов безопасности могут указывать на потребность для усовершенствованного или дополнительного средства управления, чтобы снизить частоту, ущерб и стоимость будущих происшествий или быть приняты во внимание в процессе анализа политики безопасности (см. 5.1.2). 13.2.3 Сбор доказательств Контроль Если последующие действия против лица или учреждения после инцидента безопасности влечет за собой судебный иск (или гражданский или уголовный) должны быть собраны, сохранены и представлены доказательства, чтобы соответствовать правилам для доказательств, установленных в уместной юриспруденции. Руководство выполнения При сборе и представлении доказательства для целей дисциплинарных мер в пределах учреждения должны быть разработаны и сопровождаться внутренние процедуры. Общие правила для обеспечения доказательств: a) допустимость доказательств: действительно ли доказательство может использоваться в суде; b) вескость доказательств: качество и законченность доказательства. Чтобы достигать допустимости доказательства учреждение должно гарантировать, что их информационные системы соответствуют любому изданному стандарту или практическому руководству для допустимости доказательств. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Вескость обеспеченных доказательств, должна соответствовать любым применимым требованиям. Чтобы достигать вескости доказательства, доказательство использует качественный, полный корректный и последовательный контроль защищаемого объекта (то есть доказательство управления процессом); сила доказательства должнадемонстрироваться в течение периода, во время которого это доказательство было обработано, сохранено и восстановлено. Вообще, веские «следы» для доказательства могут быть установлены при следующих условиях: a) для бумажных документов: оригинал сохраняется надежно с отчетом индивидуума, нашедшего документ, с указанием - места - где документ был найден, времени - когда документ был найден и кто засвидетельствовал находку; любое исследование должно гарантировать, что оригиналы не поддельны; b) для информации на компьютерных средствах: сделать зеркальные отображения или копии (в зависимости от соответствующих требований) любых сменных носителей, должна быть скопирована информация с жестких дисках или с памяти, чтобы гарантировать наличие; должен сохраняться журнал регистрации всех воздействий в течение копировального процесса и этот процесс должен быть засвидетельствован; оригиналы носителей и журналы регистрации (если это не возможно, по крайней мере, один зеркальный образ или копия) должны сохраниться надежно и в нетронутом состоянии. Любая судебная работа должна только выполнять на копиях существенного доказательства. Целостность всех доказательных материалов должна быть защищена. Копирование материалов доказательств должно контролироваться заслуживающим доверия персоналом, а информация относительно того, когда и где был выполнен копировальный процесс, кто исполнял копирование и какие средства и программы использовались,- все это должно быть задокументировано. Дополнительная информация Когда впервые обнаружено происшествие в информационной безопасности, может быть не очевидно, действительно ли такой инцидент приведет к рассмотрению судом. Поэтому, существует опасность, что необходимые доказательства могут быть разрушены преднамеренно или случайно прежде, чем будет проанализирована серьезность инцидента. Желательно сразу в любом рассматриваемом судебном иске для получения консультаций включить юриста или компетентные органы. Доказательство может превышать организационные и/или подведомственныеграницы. В таких случаях, необходимо убедиться в том, что учреждение имеет право, собирать необходимую информацию в качестве доказательств. Должны также применяться требования различных юрисдикций, чтобы максимизировать возможности признания всей уместной юрисдикции. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
14 Управление непрерывностью бизнеса 14.1 Информационные аспекты безопасности управления непрерывностью бизнеса Цель: Противодействовать прерыванию действий бизнеса и защитить критично важные процессы бизнеса от воздействия существенных сбоев информационных систем или бедствий и гарантировать их своевременное возобновление. Процесс управления непрерывностью должен быть реализован, чтобы минимизировать негативное влияние бедствий на учреждение и нарушений безопасности информационных активов (которые могут быть, например результатами стихийных бедствий, аварии, неисправности оборудования и преднамеренных действий) до приемлемого уровня с помощью сочетания профилактических и восстановительных мер. Этот процесс должен идентифицировать критические бизнес процессы, интегрировать информационные требования управления безопасностью и непрерывности ведения бизнеса с другими требованиями непрерывности, касающимися таких аспектов как деятельность, укомплектование персоналом, материалами, транспортом и средствами. Последствия бедствий, нарушений безопасности и прекращения работы сервисов необходимо анализировать. Следует разработать и реализовать планы непрерывности ведения бизнеса, чтобы гарантировать, что гарантировать своевременное возобновление деятельности. Информационная безопасность должна быть неотъемлемой частью непрерывности полного бизнес процесса, и других процессов управления в пределах учреждения. Управление непрерывностью бизнеса должно включать средства контроля, чтобы идентифицировать и снизить риски в дополнение к общему процессу оценки рисков, ограничивать последствия разрушительных инцидентов и гарантировать, что информация, необходимая для бизнес-процессов доступнабез задержек. 14.1.1 Включение информационной безопасности в процесс обеспечения непрерывности бизнеса Контроль Необходимо разработать контролируемый процесс для обеспечения и поддержки непрерывности бизнеса во всей организации, которая обращает внимание на требования информационной безопасности, необходимые для обеспечения непрерывности бизнеса. Руководство выполнения Данный процесс должен объединять в себе основные элементы поддержки непрерывности бизнеса перечисленные ниже: a) определение степени риска, с которым сталкивается учреждение с учетом вероятности и их воздействие, включая идентификацию и установку приоритетов наиболее важных бизнес - процессов (см. 14.1.2); b) идентификация всех активов, включенных в наиболее важные бизнес-процессы (см. 7.1.1); c) понимание воздействия, прерывания которого, вероятно, будут сказываться на бизнесе (важно, чтобы были найдены решения, которые будут обрабатывать меньшие инциденты также, как и значительные инциденты, которые могут угрожать жизнеспособности организации), и установление бизнес - целей для средств обработки информации; d) рассмотрение обеспечения подходящего страхования, которое может формировать часть процесса непрерывности, так же как и быть частью эксплуатационного управления риском; ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
e) идентификация и рассмотрение дополнительных элементов управления для профилактики и снижения риска; f) идентификация достаточных финансовых, организационных, технических и экологических ресурсов, чтобы определить идентифицированные требования к информационной безопасности; g) обеспечение безопасности персонала, защиты средств обработки информации и организационных действий; h) формулирование и документирование планов непрерывности бизнеса, согласно норм информационной безопасности в соответствии со стратегией непрерывности бизнеса (см. 14.1.3); i) регулярное испытание и обновление планов и задействованных процессов (см. 14.1.5); j) обеспечение управления и включения непрерывности бизнеса в процессы учреждения и структуру; ответственность за бизнес-процесс управлениянепрерывности должна быть назначена на соответствующем уровне в пределах учреждения (см. 6.1.1). 14.1.2 Непрерывность бизнеса и оценка риска Контроль События, которые могут вызывать прерывания в бизнес-процессах, должны быть идентифицированы, наряду с вероятностью, силой воздействия таких прерываний и их последствий для информационной безопасности. Руководство выполнения Информационные аспекты защиты непрерывности бизнеса должны быть основаны на идентификации событий (или последовательность событий), которые могут вызвать прерывания процессов бизнеса учреждения, например: отказ оборудования, человеческие ошибки, воровство, пожар, стихийные бедствия и действия терроризма. Это должно соответствовать оценке риска, чтобы определить вероятность и воздействие таких прерываний в терминах: времени, масштаба повреждения и периода восстановления. Оценки риска непрерывности бизнеса должны быть выполнены с полным привлечением владельцев бизнес ресурсов и процессов. Эта оценка должна рассмотреть все бизнес процессы и не должна быть ограничена средствами обработки информации, но должна включить следствия определенные информационной безопасностью. Важно связать различные аспекты риска вместе, получить законченную картину требований непрерывности бизнеса учреждения. Оценка должна идентифицировать, определить количество и расположить по приоритетам риски против критериев и целей, уместных учреждению, включая критические ресурсы, воздействия сбоев, допустимого времени простоя и приоритетов восстановления. На основе результатов оценки рисков необходимо разработать стратегический план, позволяющий определить общий подход к поддержке непрерывности бизнеса. Руководством учреждения должен быть одобрен такой план после создания и обеспечено его исполнение. 14.1.3 Разработка и реализация планов непрерывности, включая информационную безопасность Контроль Следует разрабатывать планы по поддержке или восстановлению бизнес - операций в требуемые масштабы времени после прерывания или отказа критических бизнес-процессов_____. Руководство выполнения Необходимо, чтобы процесс планирования непрерывности бизнеса рассматривал следующее: a) определение и согласование всех обязанностей и процедур поддержки непрерывности бизнеса; ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
b) идентификация приемлемых потерь информации и услуг; c) реализацию чрезвычайных мер, чтобы сделать возможными регенерацию и восстановление в требуемые масштабы времени. Специальное внимание следует уделять оценке внешних зависимостей бизнеса и имеющихся контрактов; d) эксплуатационные процедуры, которые следуют за окончанием восстановления и ремонта; e) документирование согласованных процедур и процессов; f) соответствующее обучение персонала согласованным чрезвычайным мерам и процессам, включая управление кризисом; g) тестирование и обновление планов Процесс планирования должен сосредоточиться на требуемых бизнес - целях, например восстановление определенных услуг связи клиентам за приемлемый интервал времени. Должны быть идентифицированы услуги и ресурсы, включая укомплектованность персоналом, информационные ресурсы, которые не были обработаны, так же как мероприятия перехода на аварийный режим для средств обработки информации, облегчающие процесс восстановления. Такие мероприятия перехода на аварийный режим могут включить договорённости с третьей стороной в форме взаимных соглашений или коммерческих подписных услуг. Планы непрерывности бизнеса должны адресоваться к уязвимостям учреждения и поэтому могут содержать чувствительную информацию, которая соответственно должна быть защищена. Копии планов непрерывности бизнеса должны храниться в отдалённо на достаточном расстоянии, чтобы их восстановить при любом ущербе от бедствия в главном офисе. Управление должно гарантировать, что копии планов непрерывности бизнеса актуальны и защищены с тем же самым уровнем защиты, как это осуществлено в главном офисе. Другие компоненты, необходимые для выполнения плана непрерывности также должны также быть сохранены в территориально разнесённом помещении от главного офиса. Если используютсявременное альтернативное размещение, уровень существующего контроля защиты на этих объектах должен быть эквивалентен защите в главном офисе. Дополнительная информация Должно быть отмечено, что планы регулирования кризиса и действия (см. 14.1.3 f)) могут отличаться от плана непрерывности бизнеса; то есть кризис может улаживаться нормальными процедурами управления. 14.1.4 Структура планирования непрерывности бизнеса Контроль Следует поддерживать единую структуру планов по непрерывности бизнеса, чтобы обеспечивать уверенность в последовательности всех планов, и идентифицировать приоритеты для тестирования и обслуживания. Руководство выполнения Каждый план непрерывности бизнеса должен описывать подход для обеспечения непрерывности, например подход, чтобы гарантировать сбережение информации или пригодность информационной системы и безопасность. Каждый план по непрерывности бизнеса должен четко определять условия его активизации, а также лиц, ответственных за выполнение каждого компонента плана. Когда идентифицированы новые требования, любые существующие чрезвычайные меры, например планы эвакуации или мероприятия перехода на аварийный режим, должны быть соответствующе исправлены. Процедуры должны быть включены в пределах программы управления изменениями в учреждении, чтобы гарантировать, что к вопросам непрерывности бизнеса всегда обращаются соответствующе. Каждый план должен иметь определенного владельца. Чрезвычайные меры, планы перехода на аварийный режим, и планы восстановления должны быть в пределах ответственности владельцев соответствующих бизнес ресурсов или вовлечённых процессов. За мероприятия по переходу на аварийный режим для альтернативных технических служб, типа обработки информации и средств связи, обычно должны быть ответственными поставщиков услуг. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
При разработке структуры плана поддержки непрерывности бизнеса необходимо учитывать идентифицированные требования информационной безопасности и включать следующее: a) условия активизации планов, включающие необходимые действия (оценка ситуации, участвующий персонал и т. п.), которые должны быть выполнены перед тем, как привести план в действие; b) планы действия в нештатных ситуациях, описывающие действия, которые необходимо выполнить после инцидента, угрожающего бизнес операциям. c) процедуры перехода на аварийный режим, которые описывают действия, которые будут описывать действия по переносу основных областей деятельности или вспомогательных служб на альтернативные временные участки и по возобновлению деятельности организации в установленные сроки; d) процедуры эксплуатации по параметрам времени, чтобы сопровождать незавершенные процедуры возврата и восстановления; e) процедуры возобновления, которые описывают действия, которые должны быть предприняты, чтобы вернуться к нормальным бизнес - операциям; f) график профилактического обслуживания, определяющий время и условия тестирования плана и процесс поддержки плана; g) действия по ознакомлению и обучению, в результате которых сотрудники должны получить представление о процессе поддержки непрерывности бизнеса и обеспечить сохранение эффективности этого процесса; h) индивидуальные обязанности сотрудников по выполнению отдельных фрагментов плана. По мере необходимости могут назначаться альтернативные варианты. i) при чрезвычайных обстоятельствах наиболее важные активы и ресурсы должны выполнять переход на аварийный режим и процедуры восстановления. 14.1.5 Тестирование, поддержка и переоценка планов обеспечения непрерывности бизнеса Контроль Планы непрерывности бизнеса должны проверяться и модифицироваться регулярно, чтобы гарантировать, что они стоят на уровне современных требований и эффективны. Руководство выполнения При испытании плана непрерывности бизнеса необходимо гарантировать, что все члены группы восстановления и другого уместного штата знают о планах и их ответственности за непрерывность бизнеса и информационную безопасность, знают свою роль при реализации плана. В графике тестирования плана(ов) поддержки непрерывности бизнеса должна содержаться информацияо том, когда и как будет тестироваться каждый элемент плана. Рекомендуется регулярно тестировать отдельные компоненты плана(ов). Чтобы гарантировать работоспособность плана(ов) в реальной ситуации, следует применять самые различные методы. Они должны включать: a) теоретическое тестирование различных сценариев (обсуждение методов восстановления на примерах инцидентов); b) моделирование (в частности, для обучения сотрудников правилам работы в случаях инцидентов и кризисов); c) тестирование восстановления технических средств (проверка эффективности восстановления информационных систем); d) проверку восстановления на дополнительном месте использования (бизнес-процессы, выполняемые параллельно с операциями по восстановлению вдалеке от главного места использования); e) тестирование средств и сервисов, предоставляемых поставщиками (проверка соответствия предоставляемых сервисов и обязательств по контракту); f) учебные репетиции (проверка того, сможет ли учреждение, персонал, оборудование, средства и процессы справиться с инцидентами). ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Эти методы можно использовать в любом учреждении. Они должны применяться в соответствии с условиями конкретного плана восстановления. Результаты испытаний должны быть зарегистрированы и где необходимо предприняты действия по улучшению планов. Необходимо назначать ответственных за регулярные пересмотры каждого плана по непрерывности бизнеса; идентификацию изменений в бизнес-мерах, еще не отраженных в планах по непрерывности бизнеса, следует сопровождать соответствующим обновлением плана. Необходимо, чтобы этот официальный процесс управления изменениями, обеспечивал уверенность в том, что обновленные планы распределяются и укрепляются регулярными пересмотрами комплексного плана. Примеры ситуаций, которые могли бы потребовать обновления планов, включают приобретение нового оборудования или совершенствование операционных систем и изменения, связанные с: a) персоналом; b) адресами или номерами телефонов; c) стратегией бизнеса; d) местоположением, средствами и ресурсами; e) законодательством; f) подрядчиками, поставщиками и основными клиентами; g) процессами, новыми/изъятыми; h) риском (эксплуатационным и финансовым). ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
15 Соответствие 15.1 Соответствие требованиям законодательства Цель: Избежать нарушений, связанных с гражданским и уголовным правом, требованиями законов и нормативных актов, обязательствами по контрактам и требованиями к безопасности. Разработка, эксплуатация и управление информационными системами может попадать под действие требований к безопасности, определенных в законах, нормативных актах и контрактах. Необходимо обратиться к юрисконсультам организации или имеющим необходимую квалификацию юристам, чтобы получить консультации по вопросам, связанным с законодательством. Требования законодательства могут отличаться в различных странах и при передаче информации, созданной в одной стране, в другую страну (т. е. при передаче данных через границы). 15.1 Согласие с законодательными требованиями Цель: Избегать нарушений любого закона, регулирующих или договорных обязательств по контракту и любых необходимых требований безопасности. Проектирование, приведение в действие, функционирование и управление информационными системами может быть подчинено регулирующим и договорным требованиям безопасности, установленных законом. Должны быть найдены рекомендации относительно определенных законодательных требований у юрисконсультов учреждения или у соответственно квалифицированных практикующих юристов. Законодательные требования изменяются в разных странах и могут измениться для информации, созданной в одной стране и переданной другой стране (то есть межгосударственный поток данных). 15.1.1 Идентификация применяемого законодательства Контроль Все уместные установленные законом, регулирующие, договорные требования и подход организации к выполнению эти требования должны быть явно определены, задокументированы и поддержаны в должном порядке до настоящего времени для каждой информационной системы и организации. Руководство выполнения Определённые средства управления и индивидуальные обязанности по выполнению этих требований должны быть определены и задокументированы подобным образом. 15.1.2 Права интеллектуальной собственности Контроль Необходимо реализовать процедуры, чтобы гарантировать соответствие законодательным, регулирующим и договорным требованиям на использование материалов, на которые могут ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
распространяться права интеллектуальной собственности и на использование проприетарного программного обеспечения35. Руководство выполнения Нужно учесть следующие рекомендации, чтобы защитить любой материал, который можно рассматривать как интеллектуальную собственность: a) публикация политики соблюдения авторских прав на программное обеспечение, определяющей законное использование программных и информационных продуктов; b) приобретение программного обеспечения только через известные и уважаемые источники, чтобы гарантировать, что авторское право не нарушено c) требования к политике соблюдения авторских прав и правил приобретения программного обеспечения и применение дисциплинарных взысканий к сотрудникам, нарушающим их; d) поддержка необходимых перечней активов и идентификация всего имущества с требованиями защиты интеллектуальной собственности; e) сохранения доказательств прав владения лицензиями и монопольными лицензиями, мастер - дисками36, руководств и т. п. f) реализация мер, предотвращающих превышение максимально допустимого числа пользователей37; g) выполнение проверок на предмет инсталляции только разрешенных и лицензированных программных продуктов; h) обеспечение политики по соблюдению условий лицензий; i) обеспечение политики по утилизации программного обеспечения и его передаче его другим сторонам; j) использование необходимых инструментальных средств аудита; k) исполнение постановлений и условий применения программного обеспечения и данных, полученных из общественных сетей; i) не дублировать при преобразовании в другой формат или извлечении из коммерческой записи (пленки, аудио) в другую форму отличную от разрешенной в соответствии с законом об авторском праве; m) не копирование полностью или частично книги, статьи, сообщения или другие документы без соблюдения закона об авторском праве. Дополнительная информация Права интеллектуальной собственности включают программное обеспечение или авторское право документа, права разработчика, торговые марки, патенты и лицензии исходного текста. Проприетарное программное обеспечение обычно снабжаются лицензионным соглашением согласно, которого определяются постановления и условия лицензии, например, ограничения использование изделий на указанных машинах или ограничивая копирование только к созданию резервной копии. Ситуация с правами интеллектуальной собственности на программного обеспечения, разработанного организацией требует, чтобы быть разъясненной всем сотрудникам учреждения. Законодательные, регулирующие и договорные требования могут содержать ограничения на копирование частного материала. В частности они могут требовать использования только разработанного учреждением материала, который был или залицензирован или подготовлен разработчиком в этом учреждении. Нарушение авторского права может вести к судебному иску, который может повлечь уголовные преследования. 15.1.3 Защита документов учреждения Контроль
35 Программное обеспечение, защищённое авторским/патентным правом; модификация и дальнейшее распространение такого ПО запрещена или строго ограничена и программы собственного производства; программы, разрабатываемые компаниями для внутреннего использования (в отличие от стандартных программных средств известных производителей) 36 Дистрибутивы дисков 37 То есть не превышать количества пользователей, указанных в приобретённой лицензии ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Важные документы, принадлежащие организации, должны иметь защиту от утраты, повреждения и фальсификации в соответствии с установленными законом, регулирующими и договорными требованиямикоммерческой деятельности. Руководство выполнения Документы необходимо разделить по категориям типа, например, бухгалтерские книги, записи баз данных, журналы транзакций, электронные журналы аудита и эксплуатационные процедуры, каждый с подробностями периода хранения и типа носителя (например, бумага, микрофильм, магнитный или оптический диск). Все криптографические ключи, относящиеся к зашифрованным архивам или цифровым подписям (см. раздел 12.3) должны так же храниться, чтобы осуществлять расшифровку в течение всего времени, когда это необходимо. Необходимо учитывать возможность деградации носителей38, используемых для хранения документов. Процедуры хранения и обращения с носителями информации должны разрабатываться в соответствии рекомендациями изготовителя. Для долгосрочного хранения носителей информации: отработанных бумажных носителей и микрофильмов нужно продумать специальные процедуры. Там, где выбраны электронные носители данных, следует включать процедуры для обеспечения возможности доступа к данным (удобочитаемость носителей данных и формата) в течение периода сохранения, чтобы защищать от потерь вследствие будущего изменения технологии. Системы хранения данных необходимо выбирать так, чтобы необходимые данные можно было отыскать в приемлемый период времени и в необходимом формате сформированного требованиями. Необходимо, чтобы система хранения и обработки обеспечивала четкую идентификацию записей и их периода сохранения, установленного национальным или региональным законом или инструкциями. Необходимо, чтобы она разрешала соответствующее уничтожение документов после того периода, когда они станут ненужными организации. Чтобы обеспечить соответствие перечисленным требованиям, необходимо принять в учреждении следующие меры: a) разработка правил хранения, обработки утилизации записей и информации; b) разработка графика хранения, определяющего типы необходимых записей и период времени, в течение которого они должны храниться; c) поддержка в актуальном состоянии перечня источниковважной информации; d) введение необходимых мер для защиты важных записей и информации от утраты, разрушения и фальсификации. Дополнительная информация Некоторые документы должны быть надежно сохранены, чтобы выполнить установленные законом регулирующие или договорные требования, также хорошо, как и поддерживать неотъемлемые деловые операции. Примеры включают документы, которые могут требоваться как доказательство, что учреждение функционирует в рамках законодательного и регулирующего правил; гарантии адекватной защиты против потенциального гражданского или преступного деяния; подтверждения финансового состояния учреждения относительно акционеров, внешних сторон и аудиторов. Период времени и содержание данных для сохранения информации могут быть установлены внутригосударственным правом или регулированием. Дополнительная информация об управлении документами в учреждении может быть найдена в ISO15489-1.
38 Т.е. ухудшение качества носителя ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
15.1.4 Защита данных и сохранение тайны персональных данных Контроль Должны быть обеспечены защита данных и конфиденциальность, как это требуется в уместном законодательстве, инструкциях и, если применимо, то в договорных соглашениях. Руководство выполнения В учреждении должны быть разработаны и внедрены защита данных и политика конфиденциальных данных. Это политика должна быть доведена всем сотрудникам, вовлеченным в обработку персональной информации. Соответствие всему уместному законодательству и инструкциям по защите данных требует соответствующей структуры управления и контроля. Часто это лучше всего достигается: назначением должностного лица по защите данных, которому следует обеспечивать руководство над администраторами, пользователями и поставщиками услуг в соответствии с их индивидуальными обязанностями и специальными процедурами, которыми необходимо следовать. Нужно с ответственностью обращаться с персональной информацией и гарантировать понимание принципов защиты данных в соответствии с уместным законодательствоми инструкциями. Должна быть внедрены технические и организационные меры для защиты персональной информации. Дополнительная информация Множество стран ввело в законодательство ответственность на сбор, обработку и передачу персональных данных (вообще информации относительно живущих людей, которые могут быть идентифицированы по этой информации). В зависимости от соответствующего национального законодательства, такое управление может наложить обязательства на то, как собирается, обрабатывается и распространяется персональная информация и может ограничить возможность передачи этих данных другим странам. 15.1.5 Предотвращение неправильного употребления средств обработки информации Контроль Пользователи должны быть удержаны39 от использования средств обработки информации для неправомочных целей. Руководство выполнения Руководство учреждения должно одобрить использование средств обработки информации. Любое использование этих средств для некоммерческих целей без одобрения руководства (см. 6.1.4), или для любых несанкционированных целей, должно быть расценено как неправильное использование средств. Если идентифицирована и есть в наличии неправомочная деятельность, обнаруженная средствами мониторинга или другими средствами, эта деятельность должна быть предоставлена для рассмотрения индивидуального заинтересованного менеджера для рассмотрения соответствующего дисциплинарного и/или судебного иска. Перед осуществлением процедур мониторинга необходимо проконсультироваться у юриста. Все пользователи должны знать о точной границе их разрешенного доступа и мониторинга на рабочем месте для обнаружения неправомочное использование. Это может быть достигнуто, давая пользователям письменную санкцию, копия которой должна быть подписана пользователем и надежно храниться в учреждении. Служащих организации, подрядчиков и третью сторону необходимо осведомить о том, что никакой доступ не разрешен, за исключением того, который авторизован.
39 В буквальном смысле «отпугнуты» ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Должно присутствовать при входе в систему предупреждающее сообщение40 для указания того, что средство обработки информации принадлежит учреждению и что несанкционированный доступ не разрешается. Чтобы продолжить процесс входа в систему, пользователь должен будет подтвердить согласие с этим сообщением. (см. 11.5.1). Дополнительная информация Средства обработки информации учреждения предназначены, прежде всего, или исключительно для деловой активности. Обнаружение вторжения, проверка (анализ, контроль) контента (электронной почты) и другие инструментальные средства контроля могут помочь предотвращать и обнаруживать неправильное употребление средств обработки информации. Много стран имеют законодательство для защиты против неправильного употребления компьютеров. При использовании компьютера для неправомочных целей может инкриминироваться уголовное преступление. Законность мониторинга использования изменяется в разных странах и может требоваться, чтобы руководство учреждения сообщило всем пользователям относительно такого мониторинга и/или получило их согласие. Так, например, должно быть отображено сообщение о мониторинге и субъекте защите, где используется для общественного доступа существующая система (например, общественный сервер сети). 15.1.6 Регулирование управления криптографическими средствами Контроль Должно использоваться управление криптографическими средствами согласно всем уместным соглашениям, законам и инструкциям. Руководство выполнения Нужно рассмотреть следующие элементы для согласования с уместными соглашениями, законами и инструкциями: a) ограничения на импорт и/или экспорт криптографического компьютерного оборудования и программного обеспечения; b) ограничения на импорт и/или экспорт компьютерного оборудования и программного обеспечения, рассчитанного на включение в него криптографических функций; c) ограничение на само использование криптографии; d) принудительные или предоставленные на собственное усмотрение методы по предоставлению доступа полномочным государственным организациям к информации, зашифрованной с помощью аппаратных или программных средств, для обеспечения конфиденциальности содержимого41. Необходимо получить консультацию у юриста, чтобы обеспечить соответствие действующему законодательству. Кроме того, необходимо получить также консультацию у юриста и перед перемещением зашифрованной информации или криптографических средств в другие страны. 15.2 Соответствие политике безопасности, стандартам и техническим условиям Цель: гарантировать соответствие систем с политикой безопасности учреждения и стандартами.
40 В большинстве случаев – это сообщение на экране компьютера при входе в систему 41 Здесь речь идёт о сертификации или экспертизе криптографических средств полномочными органами государства для гарантии защиты информации. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Должна регулярно пересматриваться безопасность информационных систем. Такой пересмотр соответствующей политики безопасности и специальных принципов должен ревизоваться для согласования с соответствующими стандартами выполнения защиты и управлением безопасностью, подтверждённой документально. 15.2.1 Соответствие политике безопасности и стандартам Контроль Управляющий персонал учреждения должен гарантировать, что все процедуры безопасности в пределах их области ответственности выполнены правильно и полностью соответствуют политике безопасности и стандартам. Руководство выполнения Управляющий персонал учреждения должен регулярно пересматривать соответствие обработки информации в пределах их области ответственности с соответствующей политикой безопасности, стандартами и любыми другими требованиями безопасности. Если найдено в результате пересмотра несоблюдение, управляющий персонал учреждения должен: a) установить причины несоблюдения; b) оценить потребность воздействия, чтобы гарантировать, что несоблюдение не повторится; c) определить и осуществить соответствующее корректирующее воздействие; d) регулярно пересматривать принимаемое корректирующее воздействие. Исходы пересмотров и корректирующих воздействий, выполненных управляющим персоналом учреждения, должны быть задокументированы и эти отчеты должны быть утверждены вышестоящим руководством. Управляющий персонал учреждения должен сообщить результаты лицам, осуществляющим независимый пересмотр (см. 6.1.8), когда этот пересмотр происходит в области их ответственности. Дополнительная информация Эксплуатационный мониторинг системного использования рассмотрен в разделе10.10. 15.2.2 Проверки соответствия техническим условиям Контроль Информационные системы следует регулярно проверять на соответствие стандартам по реализации безопасности. Руководство выполнения Специальная проверка соответствия техническим условиям выполняться вручную (с поддержкой соответствующими инструментальными средствами программного обеспечения, если необходимо) опытному системному инженеру, или с помощью автоматизированного пакета программ, который генерирует технический отчет для последующей интерпретации техническим специалистом. Если используются испытания на проникновение или оценки уязвимости, то должно быть осуществлено предостережение, что также действия могут вести к компромиссу безопасности системы. Такие испытания должны быть запланированы, зарегистрированы и с высокой точностью повторены. Любую проверку технического соответствия следует выполнять только компетентным, авторизованным лицам, либо под их наблюдением. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Дополнительная информация Техническая проверка соответствия включает экспертизу действующих систем, чтобы гарантировать, что аппаратные, программные средства и управление были правильно реализованы. Этот тип проверки соответствия требует специалиста технической экспертизы. Проверка соответствия также охватывает, например, испытание на проникновение и оценку уязвимости, которая могла бы быть вынесена независимыми экспертами, привлечёнными по контракту для этой цели. Это может быть полезно в обнаружении уязвимости в системе и для проверки эффективности управления для предотвращения несанкционированного доступа из-за этой уязвимости. Испытание проникновением и оценка уязвимости обеспечивают моментальную «фотографию системы» в определенном состоянии в определенное время. Снимок ограничен теми частями системы, которые фактически проверены в течение попытки(ок) проникновения. Испытание проникновения и оценки уязвимости - не замена оценки риска. 15.3 Рассмотрение аудита информационных систем Цель: Доводить до максимума эффективность и минимизировать влияние к/из процесса аудита системы. Необходимо иметь средства управления для защиты операционных систем и инструментальных средств аудита в процессе аудитов систем. Защита также требуется для защиты целостности и предотвращения неправильного использования инструментальных средств аудита. 15.3.1 Средства управления аудитом информационной системы Контроль Требования и действия по аудиту, включающие проверки операционных систем, необходимо тщательно планировать и согласовывать, чтобы сводить к минимуму риск разрушений бизнес- процессов. Руководство выполнения Рекомендуется рассмотреть следующие меры: a) требования аудита необходимо согласовать с соответствующим управлением; b) сферу действия проверок следует согласовывать и контролировать; c) проверки необходимо ограничивать доступом только для чтения, осуществляя доступ к программному обеспечению и данным; d) другие виды доступа, кроме доступа только для чтения, следует разрешать только для изолированных копий файлов системы, которые необходимо стирать, когда аудит закончен или осуществлена адекватная защита этих файлов, если необходимо сохранять такие файлы согласно требованиям документации; e) ресурсы для выполнения проверок, необходимо четко идентифицировать и сделать доступными; f) требования по специальной или дополнительной обработке следует идентифицировать и согласовывать; g) весь доступ следует подвергать мониторингу и регистрировать, чтобы оставлять справочный «след»; h) все процедуры, требования и обязанности следует документировать. i) лицо (а), проводящее аудит должно(ы) быть независимо(ы) от ревизуемых действий. 15.3.2 Защита инструментальных средств аудита систем Контроль ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Доступ к средствам аудита систем должен быть защищён, чтобы предотвратить любое их неправомерное использование или компрометацию. Руководство выполнения Инструментальные средства аудита, например программное обеспечение или файлы данных, должны: храниться отдельно от систем разработки, операционных систем, ленточных библиотек данных или областей, к которым имеют доступ пользователи и с обеспечением дополнительной их защиты. Дополнительная информация, Если третья сторона включена в аудит, то имеется риск неправильного употребления инструментальных средств аудита этой стороной и информацией, доступной учреждению третей стороны. Для возможного снижения рассмотренных рисков и любые последствий должно предприниматься управление типа 6.2.1 (чтобы определить риски) и 9.1.2 (чтобы ограничить физический доступ), типа немедленного изменения паролей, доведённых аудиторам. ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены
Bibliography ISO/IEC Guide 2:1996, Standardization and related activities – General vocabulary ISO/IEC Guide 73:2002, Risk management – Vocabulary – Guidelines for use in standards ISO/IEC 13335-1:2004, Information technology – Security techniques – Management of information and communications technology security – Part 1: Concepts and models for information and communications technology security management ISO/IEC TR 13335-3:1998, Information technology – Guidelines for the Management of IT Security – Part 3: Techniques for the management of IT Security ISO/IEC 13888-1: 1997, Information technology – Security techniques – Non-repudiation – Part 1: General ISO/IEC 11770-1:1996 Information technology – Security techniques – Key management – Part 1: Framework ISO/IEC 9796-2:2002 Information technology – Security techniques – Digital signature schemes giving message recovery – Part 2: Integer factorization based mechanisms ISO/IEC 9796-3:2000 Information technology – Security techniques – Digital signature schemes giving message recovery – Part 3: Discrete logarithm based mechanisms ISO/IEC 14888-1:1998 Information technology – Security techniques – Digital signatures with appendix – Part 1: General ISO/IEC 15408-1:1999 Information technology – Security techniques – Evaluation Criteria for IT security – Part 1: Introduction and general model ISO/IEC 14516:2002 Information technology – Security techniques – Guidelines for the use and management of Trusted Third Party services ISO 15489-1:2001 Information and documentation – Records management – Part 1: General ISO 10007:2003 Quality management systems – Guidelines for configuration management ISO/IEC 12207:1995 Information technology – Software life cycle processes ISO 19011:2002 Guidelines for quality and /or environmental management systems auditing
Библиография ISO/IEC Guide 2:1996, Стандартизация и связанные действия - Общий словарь ISO/IEC Guide 73:2002, Управление риском - Словарь - Рекомендации для использования в стандартах ISO/IEC 13335-1:2004, Информационная технология - Методы защиты – Управление информацией и безопасность технологии связи – Часть 1(часть): Концепции и модели для информации и управление безопасностью технологии связи ISO/IEC Технический Регламент 13335-3:1998, Информационная технология - Рекомендации для управления ИТ безопасностью - Часть 3(часть): Методы для управления ИТ безопасностью ISO/IEC 13888-1: 1997, Информационная технология - Методы защиты - С невозможностью отказа от авторства - Часть 1(часть): Общие положения ISO/IEC 11770-1:1996 Информационная технология - Методы защиты - Управление ключами - Часть 1(часть): Структура ISO/IEC 9796-2:2002 Информационная технология - Методы защиты - Схемы цифровой подписи дающей восстановление сообщения – Часть 2(часть): Техника базового целочисленного разложения на множители ISO/IEC 9796-3:2000 Информационная технология - Методы защиты - Схемы цифровой подписи, дающей восстановление сообщения – Часть 3(часть): Базовый механизм дискретный логарифма ISO/IEC 14888-1:1998 Информационная технология - Методы защиты - Цифровые подписи с дополнением - Часть 1(часть): Общие положения ISO/IEC 15408-1:1999 Информационная технология - Методы защиты - Оценочные критерии для ИТ защита - Часть 1(часть): Введение и общая модель ISO/IEC 14516:2002 Информационная технология - Методы защиты - Рекомендации для использования и менеджмента доверенных служб третьей стороны ISO 15489-1:2001 Информация и документация - Оперативный учет - Часть 1(часть): Общая ISO 10007:2003 системы Контроля качества - Рекомендации для организации системы ISO/IEC 12207:1995 Информационная технология - Программные процессы полного эксплуатационного цикла ISO 19011:2002 Рекомендации по аудиту СИСТЕМ МЕНЕДЖМЕНТА КАЧЕСТВА и/или окружающей среды
ISO/IEC 17799:2005 (E) © ISO/IEC 2005 - Все права защищены